兼具多种攻击能力的银行木马IcedID已转向通过Rovnix木马进行传播


思科的Talos团队在最近注意到,银行木马IcedID的感染量正在迅速增加。经过进一步的分析发现,该银行木马在新的传播活动中已经很少利用Emotet木马进行传播,而是转向了利用Rovnix木马。

IcedID是一个在2017年11月被IBM X-Force安全研究团队发现并通报的新型银行木马。根据IBM X-Force的描述,IcedID在发现时正通过另一个臭名昭著的银行木马Emotet传播。

Talos团队表示,IcedID的感染量自今年2月底以来突然激增。就如同2017年11月一样,一些感染可以追溯到Emotet。但更多的感染会被追溯到附带包含宏的恶意Microsoft Word文档的电子邮件。当恶意文档打开并启用宏时,另一个木马Rovnix将被下载并执行,随后下载IcedID。

Rovnix是一个在2011年就已经被发现并通报的木马病毒,作为其恶意功能的一部分,它能够下载并安装额外的模块,或者其他恶意软件家族。

Talos团队指出,新的传播活动具备两大特点:

  • 使用鱼叉式网页仿冒技术来诱使受害者打开附带恶意Microsoft Word文档的电子邮件;
  • 使用简化代码注入技术改进了现有的代码注入技术,使得IcedID木马更难以检测。

与其他的钓鱼活动并无太大的区别,当受害者打开恶意文档时,会被要求启用宏以查看内容。一旦启用,自运行的脚本将下载并执行一个比特币挖矿程序以及IcedID木马。

正如上面提到的那样,IcedID木马将使用简化代码注入技术将恶意代码注入到Windows操作系统的系统程序svchost.exe中,且不需要在目标进程中创建新线程,而这只需要以下四个函数就能实现:

  • KERNEL32!Cre​​ateProcessA
  • NTDLL!ZwAllocateVirtualMemory
  • NTDLL!ZwProtectVirtualMemory
  • NTDLL!ZwWriteVirtualMemory

另外,由于攻击者采用了鱼叉式网页仿冒技术,这使得攻击活动极具针对性。在其中的一个案例中,一封电子邮件被发送给了阿肯色州一位城市管理部门的雇员,电子邮件的主题引用了与城市商业相关的会议。邮件的正文不仅引用并讨论了这个会议,还包含了其他为该城市服务的工作人员的名字,而附件中的文档还包含了一个当地土木工程公司的名称。

另一个案例发生在一家位于北卡罗来纳州罗利的电气公司身上,他们收到的电子邮件与上述案例中的电子邮箱类似,附件中的文档包含了一家北卡罗来纳州当地工程公司的名称。

并非所有案例都针对了特定的业务,而是针对相似行业的目标受害者。例如,从事有与汽车行业有关工作的受害者普遍都会受到一封附件文档包含德克萨斯州达拉斯州一家汽车经销商名称的电子邮件。

安全研究人员表示,IcedID木马所具备的恶意功能可与很多主流的银行木马相媲美,如Zeus、Gozi以及Dridex等木马。在很长的一段时间里,它可能都会是金融网络犯罪领域的一大威胁。尽管目前它仍将攻击目标主要锁定在美国和英国,但没有谁能够保证它不会扩散到其他国家和地区。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到