ทีม X-Force ของไอบีเอ็มพบโทรจันที่มุ่งขโมยข้อมูลทางการเงินภายใต้ชื่อ IcedID ซึ่งแม้จะอยู่ในขั้นตอนการพัฒนาแต่มันก็มีประสิทธิภาพและความอันตรายเทียบเท่ากับโทรจันชื่อดังอย่าง Zeus
IcedID ประกอบด้วยโหมดการโจมตีสองแบบ ได้แก่ การโจมตี webinjection และการโจมตีการเปลี่ยนเส้นทาง โดย IcedID สามารถขโมยข้อมูลการเงินของผู้ใช้งานผ่านการโจมตีแบบ redirection คือทำการติดตั้ง local proxy เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังหน้าเว็บอันตราย และการโจมตีผ่านเว็บ คือการโจมตีไปที่เบราเซอร์ของเหยื่อเพื่อแสดงเนื้อหาปลอมบนหน้าเว็บเดิม โดยในอดีตมีเพียงมัลแวร์ Dridex เป็นมัลแวร์ชนิดเดียวกันที่รุนแรงที่สุดที่ใช้การโจมตีทั้งสองรูปแบบ
กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังโทรจันจะใช้ประโยชน์จากเครือข่าย botnetชื่อว่า Emotet เพื่อส่ง IcedID ไปยังคอมพิวเตอร์ ซึ่ง IcedID จะใช้ความสามารถในการกำหนดเป้าหมายของ Emotet เพื่อส่งโทรจันให้กับเหยื่อเฉพาะในประเทศที่ระบุเท่านั้น ซึ่งขณะนี้มัลแวร์กำหนดเป้าหมายไปที่กลุ่มธนาคารผู้ให้บริการบัตรเครดิต ผู้ให้บริการโทรศัพท์มือถือ payroll เว็บเมลและอีคอมเมิร์ซในสหรัฐฯ และธนาคารใหญ่ๆ สองแห่งในสหราชอาณาจักร
ความอ่อนแอของโทรจันในตอนนี้คือมันยังไม่มีมาตรการการตรวจจับ anti-VM และ anti-sandbox ขั้นสูงที่อาจช่วยให้มันหลบเลี่ยงการตรวจจับและการวิเคราะห์ได้ ขณะนี้ยังไม่ชัดเจนว่า IcedID เป็นเพียงมัลแวร์ในเวอร์ชันทดสอบที่ยังไม่สมบูรณ์หรือไม่ จะต้องดูว่าโทรจันจะมีวิวัฒนาการอย่างไรต่อไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.