IcedID: Novi trojanac cilja finansijske institucije

Potpuno originalan trojanac preusmerava korisnike na lažne sajtove i krade kredencijale.

IcedID: Novi trojanac cilja finansijske institucije

Pojavio se potpuno novi bankarski trojanac IcedID koji nema sličnosti u kodu sa drugim bankarskim trojancima. Prvi put je primećen u septembru. Meta su mu banke, provajderi platnih kartica, provajderi usluga mobilne telefonije, kompanije koje pružaju usluge obračuna i isplate zarada, webmail i sajtovi koji se bave online trgovinom u SAD-u, Kanadi i UK.

Karakteristike IcedID bankarskog trojanca

IcedID ima modularnu arhitekturu, a izgleda da je u stanju za mnogo više od onoga što trenutno radi. IcedID uspostavlja lokalni proxy i preusmerava sav internet saobraćaj ka njemu kako bi presreo komunikaciju sa računara žrtve. Na ovaj način prikuplja relevantne informacije i šalje ih na C&C server (ili servere). Ima mogućnost da ukrade osetljive informacije i kredencijale preko web-injection tehnike i napada sa preusmeravanjem korisnika. Web-injection napad se pretežno koristi za krađu bankarskih kredencijala, dok se napad sa preusmeravanjem korisnika koristi za krađu informacija sa platnih kartica i webmail kredencijala. Kako bi izveli web-injection napad na sajtove ciljanih banaka, napadači imaju poseban panel na udaljenoj lokaciji baziran na mreži kojem pristupaju pomoću kombinacije korisničkog imena i lozinke. Ovo ukazuje na to da se malver može kupiti na crnom internet tržištu, iako još uvek nije primećeno da se nalazi u ponudi na datom tržištu.

IcedID ne vrši samo uobičajeno preusmeravanje korisnika na drugu URL adresu. Operacija je osmišljena tako da ne izazove sumnju kod korisnika, a to znači da se korisniku prikazuje legitimna adresa sajta banke u adresnoj traci i ispravni SSL sertifikat banke. To je moguće zbog toga što napadači održavaju “live“ konekciju sa legitimnim sajtom banke.

Operacija preusmeravanja se sprovodi preko konfiguracionog fajla. Kada malver pronađe ciljani URL na listi, izvršava se pripremljeni web-injection napad. Zatim se žrtva šalje na lažni sajt banke koji izgleda kao legitimni. Kada žrtva unese svoje kredencijala na login stranici, oni se šalju na server napadača. Od tog momenta, napadač ima kontrolu nad trenutnom sesijom i zatim tehnikama socijalnog inženjeringa pokušava da na prevaru od žrtve izvuče informacije koje su potrebne za autorizaciju transakcije.

Malver ima sposobnost da se kreće i kompromituje i druge endpointe, što znači da su u opasnosti i korporativne mreže i privatni korisnici. Koristi LDAP (Lightweight Directory Access Protocol) kako bi otkrio gde može da se proširi u mreži. Komunikacija sa C&C serverima je kriptovana zbog tajnosti i zbog izbegavanja softvera za detekciju upada u sistem, a neophodno je izvršiti reboot kako bi se proces kompletirao (verovatno je svrha reboota izbegavanje sandbox analize).

Kako se IcedID distribuira krajnjim korisnicima?

Malver najčešće stiže do endpointa koje je Emotet downloader trojanac prethodno kompromitovao. Emotet se žrtvi isporučuje preko malspama (malver isporučen imejlom) koji se najčešće nalazi u lažiranim fajlovima o produktivnosti koji sadrže maliciozni macro. Kada Emotet inficira endpoint, ostaje pritajen u mreži i čeka komande drugih sajber kriminalnih grupa. Istraživači kažu da iza Emotet trojanca stoji pojedinac ili mala hakerska grupa koja ga koristi za operacije distribucije bankraskih trojanaca i drugih kodova sa malverom. Iako je IcedID potpuno novi bankarski trojanac, korišćenje Emoteta za distribuciju ukazuje na to da grupa koja stoji iz IcedID trojanca nije nova.

Izvor: helpnetsecurity.com