October 1, 2023


Malware

Varian IcedID baru telah ditemukan tanpa fungsi penipuan perbankan online yang biasa dan malah berfokus pada penginstalan malware lebih lanjut pada sistem yang disusupi.

Berdasarkan Titik buktivarian baru ini telah terlihat digunakan oleh tiga pelaku ancaman berbeda dalam tujuh kampanye sejak akhir tahun lalu, dengan fokus pada pengiriman muatan lebih lanjut, terutama ransomware.

Proofpoint telah mengidentifikasi dua varian baru loader IcedID, yaitu “Lite” (pertama kali terlihat pada November 2022) dan “Forked” (pertama kali diamati pada Februari 2023), keduanya menghadirkan bot IcedID yang sama dengan rangkaian fitur yang lebih terfokus.

Menghapus fungsi yang tidak diperlukan pada IcedID, yang telah digunakan dalam berbagai kampanye jahat tanpa banyak perubahan kode sejak 2017, menjadikannya lebih tersembunyi dan ramping, yang dapat membantu pelaku ancaman menghindari deteksi.

Kelompok terpisah dari aktivitas IcedID
Kelompok terpisah dari aktivitas IcedID (Titik pembuktian)

Kampanye IcedID baru

Mulai November 2022, the Varian “Ringan”. loader IcedID dikirim sebagai muatan tahap kedua pada sistem yang terinfeksi oleh malware Emotet yang baru dikembalikan.

Versi “Forked” dari pemuat malware pertama kali muncul pada Februari 2023, didistribusikan langsung melalui ribuan email phishing bertema faktur yang dipersonalisasi.

Pesan-pesan ini menggunakan Microsoft lampiran OneNote (.one) untuk mengeksekusi file HTA berbahaya yang, pada gilirannya, menjalankan perintah PowerShell yang mengambil IcedID dari sumber jarak jauh. Pada saat yang sama, korban diberi umpan PDF.

Lampiran OneNote berbahaya yang digunakan dalam kampanye terbaru
Lampiran OneNote berbahaya yang digunakan dalam kampanye terbaru (Titik pembuktian)

Pada akhir Februari, peneliti Proofpoint mengamati kampanye bervolume rendah yang mendistribusikan IcedID “Forked” melalui pemberitahuan palsu dari Undang-Undang Keselamatan Lalu Lintas dan Kendaraan Bermotor Nasional dan Badan Pengawas Obat dan Makanan AS (FDA).

Penting untuk dicatat bahwa sementara beberapa pelaku ancaman menggunakan varian baru dari malware IcedID, yang lain masih memilih untuk melakukannya menyebarkan varian “Standar”, dengan salah satu kampanye terbaru bertanggal 10 Maret 2023.

Varian baru

Pemuat IcedID “Forked” sangat mirip dengan versi “Standar” dalam hal perannya, mengirimkan info host dasar ke C2 dan kemudian mengambil bot IcedID.

Namun, “Forked” menggunakan jenis file yang berbeda (Server COM) dan menampilkan domain tambahan dan kode dekripsi string, membuat muatan 12KB lebih besar daripada versi “Standar”.

Dekripsi domain
Dekripsi domain (Titik pembuktian)

Di sisi lain, varian loader “Lite” lebih ringan, pada 20KB, dan tidak mengekstrak informasi host ke C2. Perubahan ini masuk akal karena diterapkan bersama Emotet, yang telah membuat profil sistem yang dilanggar.

Versi “Forked” dari bot IcedID berukuran 64KB lebih kecil dari bot “Standar”, dan pada dasarnya adalah malware yang sama tanpa sistem penyuntikan web, fungsi AiTM (musuh di tengah), dan kemampuan backconnect yang memberikan aktor ancaman jarak jauh akses ke perangkat yang terinfeksi.

Perbandingan bot standar dan bercabang
Perbandingan bot standar dan bercabang (Titik pembuktian)

IcedID umumnya digunakan untuk akses awal oleh pelaku ancaman, jadi mengembangkan varian baru adalah tanda yang mengkhawatirkan, menandakan pergeseran ke arah spesialisasi bot untuk pengiriman muatan.

Proofpoint memperkirakan bahwa sebagian besar pelaku ancaman akan terus menggunakan varian “Standar”, tetapi penerapan versi IcedID baru kemungkinan akan bertambah, dan lebih banyak varian akan muncul nanti di tahun 2023.

Leave a Reply

Your email address will not be published. Required fields are marked *