卡巴斯基研究人員稱,一款 IcedID 網銀木馬的新變種正在迅速傳播,檢測峰值甚至達到了每日 100 個。截止 2021 年 3 月,其在德國(8.58%)、意大利(10.73%)、印度(11.59%)和美國(10.73%)等地區的傳播力最為顯著。與舊版木馬相比,新變種利用了修改過的英文下載器,其中包含了經過壓縮的 ZIP 格式惡意軟件。
至于 IcedID 的感染過程,主要分成下載器和本體兩個部分。前者將用戶信息發送到服務器端,以供惡意軟件本體使用。在將自身映射到內存后,后者會將惡意軟件進一步滲透到受害者的系統中。
此外該木馬還可啟動其它惡意操作,比如允許威脅行為者繞過雙因素身份驗證(2FA)或運行惡意動態鏈接庫(DLL)的 Web 注入。這兩種方法,都允許下載和執行滲透到系統身處的其它惡意模塊。
IcedID 攻擊的地理位置分布
包括下載電子郵件收集器、Web 注入模塊、密碼抓取器、以及 hVNC 遠程控制模塊等組件,以執行 Web 注入、流量攔截、系統接管、以及密碼竊取。
至于 QBot 和 IcedID 的區別,主要是新變種變得能夠利用 x86-64 CPU 架構、從服務器端移除了假配置、且核心也略有改動,因為作者決定不將 shellcode 交換為包含一些加載程序數據的常規 PE 文件。
QBot 攻擊的地理位置分布
本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。