IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于开发的初始阶段。

关于IBM X-Force

IBM X-Force安全团队是世界上最知名的商业安全研究团队之一。这些安全专家可监视并分析各种来源的安全问题,提供威胁情报内容并将其作为 IBM Security 产品服务组合的基础。此外,IBM X-Force还可以生成多项思想领先的安全研究资产,帮助客户、研究人员和公众更深入地了解最新的安全风险,提前预知新兴威胁。

新型银行木马IcedID

据悉,IcedID银行木马最早是由IBM的X-Force研究小组的研究人员在今年9月份发现的。研究人员表示,虽然这款木马目前看起来还处于开发的初级阶段,但它已经展示了很多先进的功能,完全可以与一些较老的和更复杂的银行木马相媲美,例如其在网络上传播,通过建立交通隧道的本地代理监控浏览器的活动能力等。

IcedID同时具备重定向攻击和Web注入攻击能力

研究人员表示,像TrickBoty银行木马 和 Dridex银行木马类似,IcedID也可以使用Web注入(注入浏览器进程显示重叠在原页面上的虚假内容)和重定向攻击(安装本地代理将用户重定向到恶意网站)技术来执行窃取受害者的财务数据。

而IcedID的重定向方案并不是简单地将受害用户切换到另一个不同的URL网站上,而是精心设计了一个虚假的银行站点展现给受害者,使用到的策略包括:URL地址栏中显示合法银行的URL,以及银行正确的SSL证书,这是通过与真实的银行站点保持实时连接来实现的。

分析发现IcedID的重定向方案是通过配置文件来实现的。恶意软件监听着一组受害者可能会访问的目标URL的列表,一旦被命中,就会执行一个指定的Web注入,这样做能够将受害者重定向到一个预先设置好的与他最初想要访问的站点很相似的一个虚假的银行网站。

受害者在这个虚假的页面上提交自己的账户凭据,不知不觉中将自己的敏感信息发送到攻击者控制的服务器上。从这一点上可以看出,攻击者很好的利用了社会工程学的手段,有效的提高了受害者被骗的概率。

而在过去,只有Dridex(最先进的银行木马之一)被认为能够同时使用这两种攻击方式。当然,这主要是因为网络犯罪分子通常只会选择其中之一,并专注于完善他们的技术。

此外,研究人员还表示,IcedID具备从一个端点移动到另一个端点的能力,且具备感染终端服务器的能力,被感染的终端服务器通常为设备终端、打印机和共享的网络设备提供终端服务,只要这些端点只有连接到了一个共同的局域网(LAN)或广域网(WAN),这表明IcedID有能力从目标员工的电子邮件最终跨越到组织的终端设备。

IcedID银行木马借由Emotet银行木马进行传播

此外,根据IBM X-Force的调查结果显示,IcedID背后的犯罪组织正在通过Emotet(银行木马之一)使用的僵尸网络基础设施在已经被感染的计算机上传播IcedID。Emotet本身主要通过垃圾文件(包含恶意的宏函数)进行传播,一旦Emotet成功感染了终端,它会保持沉默,并为其他犯罪集团的操控的恶意软件服务。

【IcedID活动中感染和通信基础设施示意图】

据本周恶意软件行业的一位消息人士透露称,在过去的一年里,Emotet银行木马已经将业务重点从窃取受害者财务信息转向了恶意软件交付平台。

看起来,IcedID似乎是Emotet的最新客户之一,而且IcedID木马开发团队也正在使用Emotet的地理定位功能,仅在特定的国家/地区向受害者传送木马。

专有的远程注入面板

IcedID的运营商有一个专用的、基于Web的远程面板,使用用户名和密码组合进行登录,用于协调管理Web注入攻击的每个目标银行的网站。

网络罪犯们通常会在地下市场中购买这类Web注入面板, 而IcedID木马所使用这种商业化的Web注入产品,可能是从别处购买到的,但也有可能IcedID本身就是一款商业化的恶意软件。不过,截至目前为止,还没有发现IcedID在地下或暗网市场被销售的迹象。

 IcedID将目标定位于北美国家

根据IcedID样本中发现的配置文件类型结果显示,犯罪组织似乎将其目标定位为位于美国、加拿大和英国的用户。

在对配置文件进行深入分析后就会发现,IcedID可以针对银行、支付卡提供商、移动服务提供商、工资门户、网络邮件客户端和电子商务网站发起攻击。

更具体地说,IcedID的重定向攻击目标是支付卡和网络邮件网站,而Web注入攻击则针对了网上银行门户网站。虽然,IcedID针对的大多数银行门户网站都位于美国和加拿大,但也包括英国的两家银行。

IcedID具有粗糙的反虚拟机功能

对IcedID的样本进行动态分析,发现该恶意软件可以运行在安装了各种Windows操作系统的终端上。采取的反虚拟机(VM)或反取证分析技术包括:

需要重新启动才能完成全面部署,这样做可能是为了逃避沙箱(无法仿效重启); 通过安全套接字层(SSL)进行通信,为通信添加一层安全性,并绕过了入侵检测系统的自动扫描。

研究人员断言,IcedID早就具备了反取证的功能。只是目前还不清楚,IcedID木马是最终的成品还是处于初期阶段的实验成果。无论怎样,我们或许将在未来几个月中看到它的活跃“表现”,以及它的创造者是否能在恶意木马领域站住脚跟。

点击查看完整报告

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

2016年移动安全趋势及威胁预测

2015年已经过去,这一年间发生了很多令我们很震惊的事件,透过这些大事件和漏洞,我们可以预测一下2016年移动安全趋势和可能存在的安全威胁。 1. 恐怖威胁 ...

2115
来自专栏译文

保护您的企业免受黑客攻击的5个技巧

对攻击和信息泄漏的报导成为世界各地的头条新闻,许多公司从中“学到”了他们的第一堂课:一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中,最大...

730
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

621
来自专栏程序员的知识天地

近 5 亿人的开房隐私被暴露,只因程序员的一个小失误!

不久前,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁...

1182
来自专栏魏艾斯博客www.vpsss.net

vultr 和搬瓦工 VPS 用来加速吃鸡游戏哪个好

1.4K3
来自专栏安恒信息

研究发现安全修补漏洞速度远远慢于黑客利用速度

数据安全公司经过对数个软件漏洞的分析得出结论,尽管软件安全漏洞与缺陷已经被发现,但是企业对修补各种漏洞的反应过慢,为黑客利用这些漏洞进行攻击留下了...

2835
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

2175
来自专栏企鹅号快讯

机房传统UPS和模块化UPS有什么区别?

前言: 了解模块化UPS的人都知道,如今模块化UPS成为很多企业的新宠,市场份额节节攀高,机房UPS电源产品层出不穷,模块化UPS具有良好的可用性和稳定性,就算...

1967
来自专栏FreeBuf

漏洞告诉你:商家为什么都乐于提供免(diao)费(yu)WiFi?

作为一名小微商户,每天我除了要为经营小店忙得焦头烂额,还要想方设法地寻求提升用户体验。于是,我用了号称“营销神器”的某商用WiFi系统...... 然后不可...

2039
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

1523

扫码关注云+社区