Die ursprünglichen Betreiber des berüchtigten Emotet-Botnets haben sich offenbar mit den Cyberkriminellen hinter IcedID zusammengetan. Gemeinsam nutzen sie u.a. zwei neue Varianten der IcedID-Malware, die Cybersecurity-Experten von Proofpoint erstmals identifiziert und beschrieben haben.
Proofpoint nennt die beiden neuen Varianten „Forked“ und „Lite“ IcedID. Aktuell setzen Cyberkriminelle, den Beobachtungen der Proofpoint-Experten zufolge, vor allem diese drei Varianten der Malware ein:
- Standard-IcedID: Die Variante, die am häufigsten zu beobachten ist und von einer Vielzahl von Cyberkriminellen verwendet wird.
- Lite IcedID: Neue Variante mit minimaler Funktionalität, die als Folge-Infektion bei Emotet-Infektionen eingesetzt wird und beim Loader-Checkin keine Host-Daten abgreift.
- Forked IcedID: Neue Variante ebenfalls mit eingeschränkter Funktion, die von einer kleinen Anzahl von Cyberkriminellen verwendet wird.
IcedID wurde ursprünglich als Banking-Malware eingestuft und erstmals 2017 beobachtet. Cyberkriminelle nutzen sie auch, um Systeme mit weiterer Malware zu infizieren, z. B. mit Ransomware. In der Vergangenheit kam nur eine Version von IcedID vor, die seit 2017 unverändert geblieben ist. Diese besteht aus einem initialen Loader, der einen C2-Loader-Server kontaktiert und den Standard-DLL-Loader herunterlädt, der sodann das Zielsystem mit dem Standard-IcedID-Bot infiziert.
Im November 2022 beobachteten die Experten von Proofpoint die erste neue Variante von IcedID und tauften sie „IcedID Lite“. Sie wurde von der Hackergruppe TA542 als Folge-Malware in einer Emotet-Kampagne verwendet, kurz nachdem die Gruppe ihre Aktivität nach einer viermonatigen Pause wieder aufgenommen hatte.
Der IcedID-Lite-Loader enthält eine statische URL zum Herunterladen einer „Bot-Pack“-Datei mit einem statischen Namen (botpack.dat), die zum IcedID-Lite-DLL-Loader führt und die Systeme dann mit der Forked-Version von IcedID Bot infiziert. Die neuen Varianten nutzen keine Webinjects und Backconnect-Funktionen, wie sie normalerweise für Banking-Betrug eingesetzt werden.
Seit Februar 2023 beobachtet Proofpoint die neue Forked-Variante von IcedID und hat bisher sieben Kampagnen mit dieser neuen Version aufgedeckt. Diese Variante wurde von TA581 und einer noch nicht benannten Gruppe Cyberkrimineller verbreitet. Die Kampagnen nutzen eine Vielzahl von E-Mail-Anhängen wie Microsoft OneNote-Anhänge und eher seltene .URL-Anhänge, die zu der Forked-Variante von IcedID führen.
Der IcedID Forked Loader ist dem Standard IcedID Loader insofern ähnlicher, als er einen C2-Loader-Server kontaktiert, um den DLL Loader und den Bot abzurufen. Dieser DLL-Loader weist ähnliche Artefakte wie der Lite-Loader auf und lädt auch den Forked IcedID Bot.
Die Proofpoint-Experten haben eine ganze Reihe an „üblichen Verdächtigen“ und neuen Gruppen Cyberkrimineller identifiziert, welche die neuen Malware-Varianten einsetzen: TA578, TA551, TA577, TA544 und TA581.
Weitere Informationen:
Die Security-Forscher haben ihre detaillierten Untersuchungsergebnisse hier publiziert.
www.proofpoint.com