IcedID: nuovo malware scoperto da IBM sulla scena bancaria

Sommario

In un mondo in cui tutto è gestito online possiamo vedere che tutti i nostri dati sono in una variabile di sicurezza costante che tende sempre ad essere vulnerabile a causa delle migliaia di attacchi che vengono eseguiti sul web.

La maggior parte di noi effettua frequentemente transazioni commerciali su Internet in cui sono in gioco i nostri dati personali, numeri di conto bancario, numeri di carta di credito e altro, il che rende questa situazione di sicurezza delicata poiché se si tratta di informazioni che cadono nelle mani sbagliate possiamo essere in gravi difficoltà.

Gli analisti della sicurezza, soprattutto in termini di malware, hanno rilevato una nuova minaccia, un Trojan bancario chiamato IcedID, che è attualmente nelle sue prime fasi di sviluppo. Solvetic analizzerà come agisce questa nuova minaccia al fine di adottare le necessarie misure di sicurezza.

Come è stato scoperto questo malware

Il gruppo di ricerca IBM X-Force analizza e monitora costantemente il campo del cybercrime finanziario al fine di rilevare gli eventi e le tendenze che modellano il panorama delle minacce sia a livello di organizzazioni che per i consumatori finanziari, che sommano milioni.

Dopo un anno molto attivo in termini di malware bancario, con attacchi come malware POS (point-of-sale) e attacchi ransomware come WannaCry, il team di X-Force ha identificato un nuovo Trojan bancario naturalmente attivo chiamato IcedID .

Secondo una ricerca condotta dal gruppo X-Force, il nuovo Trojan bancario è emerso nel settembre 2021-2022, quando sono state lanciate le sue prime campagne di test. I ricercatori hanno osservato che IcedID possiede un codice dannoso modulare con moderne capacità di Trojan bancari paragonabili a malware come Zeus Trojan. In questo momento, il malware sta prendendo di mira banche, fornitori di carte di pagamento, fornitori di servizi mobili, paghe, webmail e siti di e-commerce negli Stati Uniti e anche due delle principali banche del Regno Unito sono nell'elenco degli obiettivi raggiunti dal malware.

IcedID non sembra aver preso in prestito il codice da altri Trojan noti, ma implementa funzionalità identiche che gli consentono di eseguire tattiche avanzate di manomissione del browser. Sebbene le capacità di IcedID siano già alla pari con quelle di altri trojan bancari come Zeus, Gozi e Dridex, nelle prossime settimane dovrebbero arrivare ulteriori aggiornamenti a questo malware.

Diffusione di malware

L'analisi del gruppo X-Force sul metodo di consegna del malware IcedID indica che gli operatori non sono nuovi nel campo della criminalità informatica e scelgono di infettare gli utenti tramite il trojan Emotet. L'indagine di X-Force presuppone che quest'anno un attore di minacce, o un piccolo cybergenere, abbia utilizzato Emotet come operazione di distribuzione per Trojan bancari e altri codici malware. La zona di attacco più importante di Emotet sono gli Stati Uniti. In misura minore, prende di mira anche gli utenti nel Regno Unito e in altre parti del mondo.

Emotet è elencato come uno dei principali metodi di distribuzione di malware nel 2021-2022, al servizio dei gruppi di criminalità informatica dell'Europa orientale d'élite come quelli gestiti da QakBot e Dridex. Emotet è emerso nel 2014 dopo una perdita del codice sorgente originale per il Bugat Trojan. Originariamente Emotet era un Trojan bancario che ha preceduto Dridex. In quanto tale, è progettato per accumulare e mantenere botnet. Emotet persiste sulla macchina e quindi ottiene componenti aggiuntivi, come un modulo spam, un modulo worm di rete e password e furto di dati per l'e-mail di Microsoft Outlook e l'attività del browser dell'utente.

Emotet stesso arriva tramite malspam, di solito all'interno di file di produttività manipolati che contengono macro dannose. Una volta che Emotet infetta l'endpoint, diventa un residente silenzioso e viene utilizzato per servire malware da altri criminali informatici senza essere semplicemente rilevato. IcedID può effettuare attacchi che sottraggono dati finanziari all'utente tramite attacchi di reindirizzamento, che installano proxy locali per reindirizzare gli utenti a siti di clonazione, e attacchi di web injection, con questo metodo viene iniettato il processo del browser per visualizzare contenuti fake sovrapposti a quelli originali pagina che finge di essere un sito Web affidabile.

TTP IcedIDI TTP (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) di IcedID, hanno una serie di elementi che devono essere considerati e tenuti in considerazione quando si parla di questo malware. Oltre alle funzionalità dei Trojan più comuni, IcedID ha la capacità di diffondersi in una rete e, una volta lì, monitora l'attività online della vittima configurando un proxy locale per il tunnel del traffico, che è un concetto che ricorda il Trojan GootKit. Le loro tattiche di attacco includono attacchi di webinjection e sofisticati attacchi di reindirizzamento simili allo schema utilizzato da Dridex e TrickBot.

Propagazione in rete

Gli operatori di IcedID intendono concentrarsi sul business perché hanno aggiunto un modulo di propagazione di rete al malware fin dall'inizio. IcedID possiede la capacità di spostarsi su altri endpoint e i ricercatori di X-Force hanno anche osservato che infettava i terminal server. I server terminal in genere forniscono, come suggerisce il nome, terminali, come endpoint, stampanti e dispositivi di rete condivisi, con un punto di connessione comune a una rete locale (LAN) o una rete geografica (WAN), suggerendo che IcedID ha già indirizzato le e-mail dei dipendenti a terra presso gli endpoint dell'organizzazione estendendo il suo attacco.

Nel grafico seguente possiamo vedere le funzioni di propagazione in rete di IcedID, da un IDA-Pro:

Per trovare altri utenti da infettare, IcedID interroga il protocollo LDAP (Lightweight Directory Access Protocol) con la seguente struttura:

I TTP di frode finanziaria IcedID includono due modalità di attacco

  • Attacchi di webinjection
  • Reindirizza gli attacchi

Per fare ciò, il malware scarica un file di configurazione dal server di comando e controllo (C & C) del Trojan quando l'utente apre il browser Internet. La configurazione include target per i quali verrà attivato un attacco di web injection, principalmente banche e altri target dotati di attacchi di reindirizzamento, come carte di pagamento e siti webmail.

Distribuzione del payload IcedID e dettagli tecnici

I ricercatori di X-Force hanno condotto un'analisi dinamica dei campioni del malware IcedID e da lì il malware viene distribuito agli endpoint che eseguono varie versioni del sistema operativo Windows. Non sembra possedere alcuna macchina anti-virtuale avanzata (VM) o tecniche anti-investigazione, oltre a quanto segue:

Richiede un riavvio per completare la distribuzione completa, possibilmente per ignorare le sandbox che non emulano il riavvio. Comunica tramite Secure Sockets Layer (SSL) per aggiungere un livello di sicurezza alle comunicazioni ed evitare scansioni automatizzate da parte dei sistemi di rilevamento delle intrusioni.
Con questa operazione, i ricercatori di X-Force affermano che funzionalità anti-forensi possono essere applicate a questo Trojan nel tempo.

IcedID è implementato sugli endpoint di destinazione utilizzando il Trojan Emotet come gateway. Dopo il riavvio, il payload viene scritto nella cartella% Windows LocalAppData% con un valore generato da alcuni parametri del sistema operativo. Tale valore viene utilizzato sia nel percorso di distribuzione che nel valore RunKey per il file.
La convenzione completa per il valore è:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Il malware stabilisce il suo meccanismo di persistenza creando una RunKey nel registro indicato per garantirne la sopravvivenza dopo gli eventi di riavvio del sistema. Successivamente, IcedID scrive una chiave di crittografia RSA per il sistema nella cartella AppData. Il malware può scrivere su questa chiave RSA durante la routine di distribuzione, il che potrebbe essere correlato al fatto che il traffico Web viene incanalato attraverso il processo IcedID anche quando viene incanalato il traffico SSL.
Il file temporaneo viene scritto con la seguente convenzione:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b \ UserData \ UserData Temp \ CACEF19.tmp
Il processo IcedID continua a essere eseguito, il che è raro per il malware. Ciò potrebbe significare che alcune parti del codice sono ancora in fase di correzione e questo problema cambierà nel prossimo aggiornamento.

Il processo di distribuzione termina qui e il malware continuerà a essere eseguito nel processo di Explorer fino al successivo riavvio di quell'endpoint. Dopo l'evento di riavvio, il payload viene eseguito e l'IcedID Trojan diventa residente sull'endpoint. A questo punto, i componenti del malware sono pronti per iniziare a reindirizzare il traffico Internet della vittima attraverso un proxy locale che controlla.

Come IcedID reindirizza il traffico web della vittima

IcedID configura un proxy locale per ascoltare e intercettare le comunicazioni dall'endpoint della vittima e reindirizza tutto il traffico Internet attraverso di esso in due passaggi. Innanzitutto il traffico viene trasferito al server locale, localhost, (127.0.0.1) tramite la porta 49157, che fa parte delle porte TCP/IP dinamiche e/o private. In secondo luogo, il processo dannoso del malware ascolta su quella porta ed esfiltra le comunicazioni pertinenti al tuo server C&C.

Sebbene sia stato sviluppato di recente, IcedID utilizza attacchi di reindirizzamento. Lo schema di reindirizzamento che IcedID utilizza non è un semplice passaggio a un altro sito Web con un URL diverso, al contrario, è progettato per apparire il più trasparente possibile alla vittima.

Queste tattiche includono la visualizzazione dell'URL della banca legittima nella barra degli indirizzi e il certificato SSL corretto della banca, che è possibile mantenendo una connessione live al sito reale della banca in modo che non abbiamo modo di rilevare la minaccia. Lo schema di reindirizzamento IcedID viene implementato tramite il relativo file di configurazione. Il malware ascolta l'URL di destinazione nell'elenco e, una volta trovato un trigger, esegue una web injection designata. Questa webinjection invia la vittima a un sito bancario fasullo configurato in anticipo per corrispondere al sito originariamente richiesto simulando il loro ambiente.

La vittima viene indotta con l'inganno a presentare le proprie credenziali sulla replica della pagina falsa, che inconsapevolmente la invia al server dell'aggressore. Da quel momento in poi, l'aggressore controlla la sessione che la vittima attraversa, che in genere include l'ingegneria sociale per indurre la vittima a rivelare elementi di autorizzazione alla transazione.

Comunicazione malware

Le comunicazioni IcedID vengono effettuate tramite il protocollo SSL crittografato. Durante una campagna analizzata alla fine di ottobre, il malware ha comunicato con quattro diversi server C&C.Il grafico seguente mostra una vista schematica dell'infrastruttura di comunicazione e infezione di IcedID:

INGRANDIRE

Per segnalare nuove infezioni alla botnet, IcedID invia un messaggio crittografato con l'identificazione del bot e le informazioni di base del sistema come segue:

Le parti del messaggio decodificato mostrano i seguenti dettagli che vengono inviati al C&C

  • B = ID Bot
  • K = nome della squadra
  • L = Gruppo di lavoro
  • M = versione del sistema operativo

Pannello di iniezione remoto

Per organizzare attacchi di webinjection per ogni sito web della banca target, gli operatori IcedID dispongono di un pannello remoto web-based dedicato accessibile con una combinazione di username e password identica alla banca originale.
I pannelli di web injection sono spesso offerte commerciali che i criminali acquistano nei mercati sotterranei. È possibile che IcedID utilizzi un pannello commerciale o che IcedID sia un malware commerciale. Tuttavia, al momento non ci sono indicazioni che IcedID venga venduto sui mercati sotterranei o del Dark Web.

Un pannello di iniezione remoto sarà simile a questo:

Come possiamo vedere, all'utente viene richiesto di inserire le sue credenziali come fa normalmente sul sito web della sua banca. Il pannello comunica nuovamente con un server basato sulla piattaforma web OpenResty. Secondo il suo sito Web ufficiale, OpenResty è progettato per aiutare gli sviluppatori a creare facilmente applicazioni Web scalabili, servizi Web e portali Web dinamici facilitandone la diffusione.

Come proteggersi da IcedID

Il gruppo di ricerca X-Force consiglia di applicare le patch di sicurezza ai browser e ha eseguito personalmente il seguente processo:

Internet Explorer

 Connetti CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll!SSL_AuthCertificateHook

Altri browser

 CreateProcessInternalW CreateSemaphoreA

Sebbene IcedID sia ancora in fase di diffusione, non si sa con certezza quale impatto avrà a livello mondiale, ma è l'ideale per essere un passo avanti e adottare le necessarie misure di sicurezza.

wave wave wave wave wave