Троян IcedID навчився новим трюкам для обходу рішень безпеки

Троян IcedID навчився новим трюкам для обходу рішень безпеки

  Фахівець компанії Juniper Networks Пол Кімайонг (Paul Kimayong) повідомив про нову фішинговою кампанії, в ході якої зловмисники атакують бізнес за допомогою оновленого трояна IcedID.

  Троян, який широко використовується під час пандемії COVID-19, отримав нові функції, що дозволяють йому залишатися непомітним для жертви і обходити стандартні рішення безпеки. Зокрема, в IcedID був доданий парольний захист вкладень, обфускація ключових слів і мінімалістичний макро-код.

   В ході шкідливої кампанії, виявленої фахівцями Juniper Networks в минулому місяці, на другому етапі атаки в якості завантажувача зловмисники використовують динамічну бібліотеку (DLL). За словами Кімайонга, це свідчить про підвищення кваліфікації кіберзлочинців.

 Нова версія IcedID поширюється через зламані бізнес-акаунти — зловмисники розсилають троян зі зламаних записів клієнтам атакованої організації.

  В описаній Кімайонгом кампанії шкідник розсилався зі зламаних облікових записів співробітників PrepNow.com — приватної репетиторської фірми, що працює в декількох американських штатах. З пошти бухгалтерії зловмисники відправляли жертві фішингового листа з вкладеним документом, який нібито був рахунком. Документ був захищений паролем шкідливий ZIP-файл. Завдяки парольному захисту, файл успішно обходив антивірусні рішення. Пароль вказувався в тексті листа, і користувач повинен був ввести його самостійно, щоб відкрити файл.

  Зловмисники також використовували кілька способів обфускаціі слова «attached» ( «прикладений») в листі. Здавалося б, це зроблено не для обходу спам-фільтрів, адже наявність в листі вкладеного документа очевидно. «Однак будь-яка незначна зміна тіла листа може змінити деякі нечіткі хеші, обчислені рішеннями безпеки електронної пошти для виявлення масових спам-кампаній», — зазначив Кімайонг.

  Крім того, зловмисники повернули задом-наперед ім'я файлу всередині ZIP-файлу, що дозволило їм обійти спам-фільтри в Google Gmail.

10:36
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|