มัลแวร์ IcedID สายพันธ์ุใหม่เปลี่ยนจากขโมยข้อมูลธนาคารเป็นการติดตั้งมัลแวร์แทน

พบ IcedID สายพันธุ์ใหม่ ที่ไม่มีฟังก์ชันการหลอกลวงเอาข้อมูลธนาคารออนไลน์จากเหยื่อ แต่จะมุ่งเน้นไปที่การติดตั้งมัลแวร์เพิ่มเติมบนระบบที่ถูกโจมตี

ข้อมูลจาก Proofpoint พบว่า IcedID สายพันธุ์ใหม่เหล่านี้ถูกใช้โดยผู้โจมตีที่แตกต่างกัน 3 รายใน 7 แคมเปญตั้งแต่ปลายปีที่ผ่านมา โดยเน้นไปที่การติดตั้งเพย์โหลดสำหรับมัลแวร์อื่น ๆ เพิ่มเติม โดยเฉพาะอย่างยิ่งแรนซัมแวร์

Proofpoint ระบุว่า IcedID รุ่นใหม่ 2 เวอร์ชัน ได้แก่ “Lite” (เปิดตัวครั้งแรกในเดือนพฤศจิกายน 2022) และ “Forked” (เปิดตัวครั้งแรกในเดือนกุมภาพันธ์ 2023) ทั้งสองเวอร์ชันใช้ IcedID สายพันธุ์เดียวกัน พร้อมฟีเจอร์ที่น้อยลงกว่าเดิม

การลบฟังก์ชันที่ไม่จำเป็นบน IcedID ซึ่งถูกนำไปใช้ในแคมเปญที่เป็นอันตรายจำนวนมากโดยไม่มีการเปลี่ยนแปลงโค้ดตั้งแต่ปี 2017 จะทำให้มัลแวร์สามารถซ่อนตัวได้ง่าย ซึ่งช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับได้

แคมเปญ IcedID ใหม่

เริ่มตั้งแต่เดือนพฤศจิกายน 2022 IcedID เวอร์ชัน "Lite" ถูกใช้เป็นเพย์โหลดขั้นที่สองบนระบบที่ติดมัลแวร์ Emotet

ส่วน IcedID เวอร์ชัน “Forked” ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 ผ่านทางอีเมลฟิชชิ่งในรูปแบบใบแจ้งหนี้ส่วนบุคคลหลายพันฉบับ

โดยข้อความเหล่านี้จะใช้ไฟล์แนบ Microsoft OneNote (.one) เพื่อเรียกใช้ไฟล์ HTA ที่เป็นอันตราย ซึ่งจะเรียกใช้คำสั่ง PowerShell เพื่อดาวน์โหลด IcedID จากเซิร์ฟเวอร์ภายนอก

เมื่อปลายเดือนกุมภาพันธ์ นักวิจัยของ Proofpoint พบแคมเปญที่ใช้ในการแพร่กระจาย IcedID เวอร์ชัน “Forked” ผ่านประกาศปลอมจากพระราชบัญญัติความปลอดภัยจราจรและยานยนต์แห่งชาติ และสำนักงานอาหาร และยาของสหรัฐ (FDA)

โดย IcedID เวอร์ชัน “Forked” ยังคงมีความคล้ายกับเวอร์ชัน "มาตรฐาน" ในแง่ของการส่งข้อมูล และรับคำสั่งจาก C2 server

อย่างไรก็ตาม “Forked” ใช้ไฟล์ประเภทอื่น (COM Server) และมีโดเมนเพิ่มเติมที่ทำให้เพย์โหลดมีขนาดใหญ่กว่าเวอร์ชัน “มาตรฐาน” ถึง 12 KB

ในทางกลับกัน เวอร์ชัน "Lite" จะมีขนาดน้อยกว่า 20KB และไม่ส่งข้อมูลของเครื่องเหยื่อไปยัง C2 server เนื่องจากมันถูกใช้ควบคู่ไปกับ Emotet ซึ่งได้ทำการเก็บข้อมูลบนระบบของเหยื่อที่ถูกโจมตีเรียบร้อยแล้ว

โดยทั่วไปแล้ว IcedID จะถูกใช้สำหรับการโจมตีในเบื้องต้น ดังนั้นการพัฒนาสายพันธ์ใหม่จึงเป็นสัญญาณที่บ่งชี้ถึงความเชี่ยวชาญเพื่อเป้าหมายในการติดตั้งเพย์โหลดสำหรับมัลแวร์อื่น ๆ

Proofpoint คาดการณ์ว่าผู้โจมตีส่วนใหญ่จะยังคงใช้รูปแบบ "มาตรฐาน" ต่อไป แต่การปรับใช้ IcedID เวอร์ชันใหม่มีแนวโน้มที่จะเพิ่มขึ้น และรูปแบบอื่น ๆ อาจถูกพบมากขึ้นในปี 2566

 

ที่มา : bleepingcomputer