IcedID utilise des méthodes de livraison innovantes, augmentant significativement les taux d’infection
Table des matières :
L’indice mondial des menaces de Check Point Research pour mars 2021 révèle que les opérateurs de chevaux de Troie bancaires IcedID rejoignent le grand jeu. Le mois dernier, IcedID a été inclus dans l’index pour la première fois, prenant immédiatement la deuxième place juste après le tristement célèbre Dridex. Une augmentation des infections et de la notoriété s’explique par les méthodes de livraison innovantes qu’appliquent les opérateurs d’IcedID pour atteindre de nouveaux sommets. Les experts en sécurité estiment que cette construction rapide de capacité est motivée par le désir de remplacer le botnet Emotet récemment perturbé sur la scène malveillante.
Cheval de Troie bancaire IcedID
IcedID (aussi connu sous le nom de BokBot) est un cheval de Troie bancaire modulaire capable de voler des données financières et d’agir comme un téléchargeur de malwares de seconde étape. Après sa première apparition en septembre 2017, le malware a été utilisé dans plusieurs campagnes malveillantes visant les banques, les fournisseurs de cartes de paiement, les vendeurs de télécommunications et les sites de commerce électronique aux États-Unis. Initialement, le Trojan IcedID était livré par Emotet, mais de nouvelles méthodes de livraison ont été obtenues avec le temps.
L’info-stealer IcedID a une large fonctionnalité malveillante permettant à ses opérateurs de vider les identifiants de connexion pour les sessions bancaires en ligne, de prendre le contrôle des comptes bancaires et d’automatiser les transactions frauduleuses. En particulier, après l’infection, le malware se propage à travers le réseau compromis, surveille toute l’activité sur le PC et conduit des attaques de type man-in-the-browser. Ces attaques suivent trois étapes, dont l’injection web, la configuration de proxy et la redirection. Cette approche permet à IcedID de tromper les victimes via l’ingénierie sociale et de contourner l’authentification multi-facteurs tout en accédant aux comptes bancaires. Pour passer inaperçu tout en effectuant des actions malveillantes, IcedID cache sa configuration avec l’aide de la technique de stéganographie, appliquant simultanément des fonctionnalités anti-VM et anti-débogage.
Notamment, outre la fonctionnalité de vol de données, le malware est de plus en plus utilisé comme un téléchargeur de seconde étape. Les experts en sécurité croient que la menace se dirige vers un modèle de malware en tant que service (MaaS), avec divers ransomware déjà livrés dans les campagnes IcedID.
Nouvelles Méthodes de Livraison
Après la perturbation du botnet Emotet en janvier 2021, les mainteneurs d’IcedID ont commencé à diversifier la méthode de livraison pour augmenter les taux d’infection. Le mois dernier, les chercheurs en sécurité de Uptycs ont identifié une nouvelle campagne IcedID exploitant la prise en charge xlsm pour les formules Macros Excel 4.0 dans les cellules de feuille de calcul. En particulier, les adversaires tirent parti de cette fonctionnalité pour intégrer le code arbitraire et télécharger les exécutables malveillants via des URL. Au cours des trois derniers mois, les experts de Uptycs ont repéré plus de 15 000 requêtes HTTP pour des documents malveillants, dont la plupart étaient des feuilles de calcul Microsoft Excel portant une extension.
De plus, en avril 2021, Microsoft a révélé une méthode de livraison encore plus inhabituelle pour le Trojan IcedID. Dans la dernière campagne, les opérateurs de malware ont exploité les formulaires de contact de sites Web pour cibler des entreprises de diverses tailles. Les attaquants ont abusé de ces formulaires pour envoyer des courriels forgés concernant une prétendue menace légale. En particulier, le courriel informait d’une violation de droits d’auteur et contenait une URL malveillante conduisant à une page Google. Si un utilisateur était trompé pour suivre ce lien, la page téléchargeait une archive ZIP malveillante avec un fichier JS lourdement obscurci à l’intérieur. Une fois extrait, le fichier JS était exécuté via WScript pour télécharger la charge utile finale IcedID.
Détection IcedID
Pour anticiper les méthodes d’infection innovantes du tristement célèbre Trojan IcedID, vous pouvez télécharger des règles Sigma sur mesure publiées par notre prolifique développeur Threat Bounty Osman Demir.
IcedID (BokBot) à partir de fichier ZIP JS
Campagne IcedID Épicée avec Macros Excel 4
Campagne de Malspam Dépose IcedID et Conduit au Ransomware REvil
Aussi, vous pouvez vérifier la liste complète des détections IcedID disponible dans le Threat Detection Marketplace.
Obtenez un abonnement gratuit à notre plateforme Detection as Code pour booster vos capacités de défense cybernétique et réduire le temps moyen de détection des attaques. Notre bibliothèque de contenu SOC, première du genre, agrège plus de 100 000 règles, parsers et requêtes de recherche mappées aux cadres CVE et MITRE ATT&CK®. Plus de 300 contributeurs enrichissent la bibliothèque chaque jour pour permettre une détection continue des cybermenaces les plus alarmantes. Envie de contribuer aux initiatives de chasse aux menaces et de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty !
