新闻快讯
< >

新型银行木马IcedID现身,具备双重攻击能力

IBM X-Force研究团队是世界上最知名的商业安全研究团队之一。这些安全专家可监视并分析各种来源的安全问题,提供威胁情报内容并将其作为IBM Security产品服务组合的基础。

新型银行木马IcedID现身,具备双重攻击能力-E安全

IBM® X-Force® 可生成多项思想领先的安全研究资产,帮助客户、研究人员和公众更深入地了解最新的安全风险,提前预知新兴威胁。

最近,IBM X-Force发现了一个新型的银行木马,他们将其命名为“IcedID”,目前似乎正处于开发的初始阶段。

尽管IcedID目前还不够完善,但它已经展现出了一些先进的功能,并且是很多旧版本的银行木马所无法与之相比的。

同时具备重定向攻击和Web注入攻击能力

IcedID可以通过重定向攻击(安装本地代理将用户重定向到恶意网站)和网页注入攻击(注入浏览器进程显示重叠在原页面上的虚假内容)来执行窃取受害者的财务数据。

而在过去,只有Dridex(最先进的银行木马之一)被认为能够同时使用这两种攻击方式。当然,这主要是因为网络犯罪分子通常只会选择其中之一,并专注于完善他们的技术。

此外,根据IBM X-Force的调查,IcedID背后的犯罪组织正在通过Emotet(银行木马之一)使用的僵尸网络基础设施在已经被感染的计算机上传播IcedID。

据本周恶意软件行业的一位消息人士透露,在过去的一年里,Emotet已经将重点从窃取受害者财务信息转向了恶意软件交付平台。

看起来,IcedID似乎是Emotet的最新客户之一。而IcedID正在使用Emotet的地理定位功能,仅在特定国家/地区向受害者传送木马。

IcedID将目标定位于北美国家

根据IcedID样本的配置文件的类型,犯罪组织似乎将其目标定位在了美国、加拿大和英国。

在对配置文件深入分析后,就会发现IcedID可以针对银行、支付卡提供商、移动服务提供商、工资门户、网络邮件客户端和电子商务网站发起攻击。

更具体地说,IcedID的重定向攻击目标是支付卡和网络邮件网站,而Web注入攻击则针对了网上银行门户网站。

虽然,IcedID针对的大多数银行门户网站都位于美国和加拿大,但也包括英国的两家银行。

IcedID具有粗糙的反虚拟机功能

在这种情况下,IcedID的重定向功能通过在端口49157上运行的本地代理汇集网络流量来工作。

IcedID目前唯一的弱点就是缺乏先进的反虚拟机和反沙箱检测功能。IcedID现阶段配置的这些功能都还很粗糙。

目前,尚不清楚IBM X-Force发现的IcedID样本是最终的成品还是处于开发的最初实验阶段。无论怎样,我们或许将在未来几个月中看到它的活跃“表现”。