Due nuove campagne IcedID fanno il giro della rete

È stata scoperta una nuova variante del trojan bancario IcedID che si diffonde tramite due nuove campagne di spam. Queste campagne stanno raggiungendo più di 100 rilevamenti al giorno.

Di cosa si tratta?

A metà marzo, i ricercatori di Kaspersky hanno osservato due nuove campagne di spam, in cui i messaggi erano scritti in inglese e avevano allegati ZIP o collegamenti che portavano a file ZIP.

  • La prima campagna, denominata DotDat, stava diffondendo allegati ZIP che affermavano di essere una sorta di richiesta di risarcimento o operazione annullata con i nomi in un formato specifico.
  • Gli archivi ZIP includono un file MS Excel dannoso con lo stesso nome. Scarica un payload dannoso tramite una macro da un URL con il seguente formato [host]/[cifre].[cifre].dat e lo esegue.
  • Nella seconda campagna, le e-mail di spam includevano collegamenti a siti Web compromessi con archivi dannosi denominati documenti[.]zip0, doc-XX[.]zip, document-XX[.]zip dove XX sta per due cifre casuali.
  • Simile alla prima campagna, gli archivi includevano un file Excel con una macro che scaricava il downloader IcedID. Questa campagna di spam ha raggiunto il picco a marzo e ad aprile ha rallentato.

Il malware IcedID

IcedID è composto da due parti: un downloader che invia alcune informazioni dell’utente al C&C e riceve il corpo principale, e il corpo principale che viene distribuito come shellcode nascosto in un’immagine PNG.

  • Inoltre, gli autori di IcedID hanno cambiato il downloader. Nella nuova versione, gli aggressori sono passati da x86 a una versione x86-64 e hanno rimosso i falsi C2 dalla configurazione.
  • A marzo, il maggior numero di utenti presi di mira da Ligooc (IcedID downloader) è stato individuato in Cina (15,88%), India (11,59%), Italia (10,73%), Stati Uniti (10,73%) e Germania (8,58%).

Conclusioni

Insieme all’aumento dei tentativi di infezione, gli operatori IcedID hanno apportato alcune modifiche anche al downloader. Ciò suggerisce che gli aggressori stanno migliorando e probabilmente stanno elaborando un nuovo piano per colpire gli utenti a livello globale. Il modo migliore per rimanere protetti da tali minacce è rimanere vigili durante la ricezione di e-mail da mittenti sconosciuti.