- MARTEDÌ 14 NOVEMBRE 2017
E' stato individuato un nuovo trojan bancario, chiamato IcedID e che è, attualmente, alla prima fase di distribuzione. Nonostante sia un nuovo trojan, possiede funzioni avanzate rispetto ad altri trojan bancari più vecchi e più complessi. Usa due tipi di attacco: redirection e web injections.
IcedID è finalizzato, ovviamente, al furto dei dati finanziari della vittima tramite due diversi attacchi:
- redirection attack: installa un proxy locale per reindirizzare gli utenti verso siti web falsi, cloni di siti ufficiali.
- web injection attack: inietta codice nei processi del browser per mostrare contenuti falsi e truffaldini sulla pagina originale.
Nel passato solo Dridex (ne abbiamo già parlato qui) - uno dei trojan bancari più avanzati- aveva fatto ricorso ad entrambi i tipi di attacco: generalmente infatti i gruppi di cyber-criminali dietro questi trojan scelgono uno solo dei due attacchi e procedono al loro perfezionamento.
Uno dei falsi portali di login visualizzati da IcedID
Analisi più approfondite hanno svelato che IcedId usa la botnet costruita con il trojan Emotet per la distribuzione su computer già infetti: il sospetto è che la botnet di Emotet abbia cambiato obiettivi, passando dall'obiettivo di rubare informazioni finanziarie degli utenti ad essere una piattaforma di distribuzione di malware. IcedID pare essere l'ultimo acquisto della botnet.
Uno dei falsi portali di login visualizzati da IcedID
Analisi più approfondite hanno svelato che IcedId usa la botnet costruita con il trojan Emotet per la distribuzione su computer già infetti: il sospetto è che la botnet di Emotet abbia cambiato obiettivi, passando dall'obiettivo di rubare informazioni finanziarie degli utenti ad essere una piattaforma di distribuzione di malware. IcedID pare essere l'ultimo acquisto della botnet.
Qualche info tecnica su IcedId:
- reindirizza il traffico web incanalandolo verso proxy locale che funziona sulla porta 49157.
- ha una funzione specifica per la criptazione delle comunicazioni col proprio server C&C
- ha un sistema di boot basato su chiavi di registro per rendersi persistente sul sistema.
- mira alle informazioni legate al conto corrente online, al numero della carta di credito, ai portali di pagamento online, ai siti di e-commerce.
La funzione di propagazione nella rete di IcedID
L'unica debolezza di questo trojan è l'assenza di un avanzato sistema per l'individuazione delleVirtual Machine e delle sandbox: presenta meccanismi anti VM e anti-sandobx piuttosto rudimentali. L'unica eccezione riguarda, in parte, la funzione anti sandbox: IcedID esegue il riavvio del Pc per completare la distribuzione del trojan, forse per eludere quelle sandobox che non emulano il riavvio del sistema.
Le vittime, per ora...
Sicuramente IcedId è in fase di test: difficile dire già da ora se è destinato a restare o a scomparire. Attualmente sta colpendo sopratutto negli Stati Uniti, in Canada e nel Regno Unito.