Anzeige
SECURITY31. März 2023

Emotet-Betreiber nutzen neue Varianten der Banking-Malware IcedID

Proofpoint

Laut Proofpoint haben sich die Betreiber des Emotet-Botnets offenbar mit den Cyberkriminellen hinter der Banking-Malware IcedID zusammengetan. Gemeinsam nutzen sie u.a. zwei neue Varianten der IcedID-Malware. Proofpoint nennt die beiden neuen Varianten „Forked“ und „Lite“ IcedID. 

Aktuell setzen Cyberkriminelle, den Beobachtungen der Proofpoint-Experten zufolge, vor allem diese drei Varianten der Malware ein:

  • Standard-IcedID: Die Variante, die am häufigsten zu beobachten ist und von einer Vielzahl von Cyberkriminellen verwendet wird.
  • Lite IcedID: Neue Variante mit minimaler Funktionalität, die als Folge-Infektion bei Emotet-Infektionen eingesetzt wird und beim Loader-Checkin keine Host-Daten abgreift.
  • Forked IcedID: Neue Variante ebenfalls mit eingeschränkter Funktion, die von einer kleinen Anzahl von Cyberkriminellen verwendet wird.

IcedID wurde ursprünglich als Banking-Malware eingestuft und erstmals 2017 beobachtet. Cyberkriminelle würden sie auch nutzen, um Systeme mit weiterer Malware zu infizieren, z. B. mit Ransomware. In der Vergangenheit sei nur eine Version vorgekommen, die seit 2017 unverändert geblieben ist. Diese bestehe aus einem initialen Loader, der einen C2-Loader-Server kontaktiere und den Standard-DLL-Loader herunterlädt, der sodann das Zielsystem mit dem Standard-Bot infiziere.

Im November 2022 hätten die Experten von Proofpoint dann die erste neue Variante beobachtet und sie „IcedID Lite“´getauft. Sie wurde von der Hackergruppe TA542 als Folge-Malware in einer Emotet-Kampagne verwendet, kurz nachdem die Gruppe ihre Aktivität nach einer viermonatigen Pause wieder aufgenommen hatte.

IcedID
Proofpoint
Der IcedID-Lite-Loader enthalte eine statische URL zum Herunterladen einer „Bot-Pack“-Datei mit einem statischen Namen (botpack.dat), die zum Lite-DLL-Loader führe und die Systeme dann mit der Forked-Version von IcedID-Bot infiziere. Die neuen Varianten würden keine Webinjects und Backconnect-Funktionen nutzen, wie sie normalerweise für Banking-Betrug eingesetzt werden.

Seit Februar 2023 beobachte Proofpoint die neue Forked-Variante (mehr hier) von IcedID und habe bisher sieben Kampagnen mit dieser neuen Version aufgedeckt. Diese Variante wurde von TA581 und einer noch nicht benannten Gruppe Cyberkrimineller verbreitet. Sie nutze eine Vielzahl von E-Mail-Anhängen wie Microsoft OneNote-Anhänge und eher seltene URL-Anhänge, die zu der Forked-Variante führen.

Der Forked-Loader sei dem Standard-Loader insofern ähnlicher, als er einen C2-Loader-Server kontaktiere, um den DLL-Loader und den Bot abzurufen. Dieser DLL-Loader weise ähnliche Artefakte wie der Lite-Loader auf und lade auch den Forked IcedID Bot.

Aktuell gebe es eine ganze Reihe an „üblichen Verdächtigen“ und neue Gruppen von Cyberkriminellen, die neuen Malware-Varianten einsetzen: TA578, TA551, TA577, TA544 und TA581.ft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert