IcedID rafforza le sue capacità: nuovi metodi di diffusione e attacco

Il famigerato caricatore di malware, IcedID, noto anche come BokBot, è stato aggiornato, in particolare il suo modulo BackConnect (BC), utilizzato per attività post-compromissione sui sistemi infiltrati. I ricercatori di sicurezza informatica del Team Cymru lo hanno rivelato nelle loro ultime scoperte. IcedID, un malware inizialmente sviluppato come trojan bancario nel 2017, si è evoluto in un facilitatore di accesso iniziale per vari payload, con una recente attenzione alla distribuzione di ransomware.

La documentazione di Netresec del modulo BC e delle origini geografiche

Il modulo BC, descritto per la prima volta da Netresec nell'ottobre 2022, funziona su un esclusivo protocollo di comando e controllo (C2) che consente l'interazione tra un server e l'host infiltrato. Questo protocollo include un componente VNC per l'accesso remoto e non è univoco per IcedID, essendo stato trovato in altri come BazarLoader e QakBot. Il team Cymru ha rilevato 11 BC C2 attivi nel dicembre 2022, riconducendoli a operatori apparentemente situati in Moldavia e Ucraina.

I cambiamenti rendono il rilevamento di IcedID più impegnativo

Il traffico BackConnect generato da IcedID veniva precedentemente rilevato facilmente tramite la porta TCP 8080, ma ora il malware ha spostato il proprio traffico sulla porta TCP 443, una mossa che rende il suo rilevamento più impegnativo, come sottolineato dall'Unità 42 di Palo Alto Networks. Questo spostamento è stato notato fin dall'11 aprile 2023. "Tuttavia, già dall'11 aprile 2023, l'attività BackConnect per IcedID è cambiata alla porta TCP 443, rendendola più difficile da trovare", ha affermato l'Unità 42 alla fine di maggio 2023.

Aumentati i server BC C2 e le vittime del doppio colpo di IcedID

Confermando i timori sulla minaccia sempre crescente di IcedID, il Team Cymru ha registrato un afflusso nei server BC C2. Il numero è passato da 11 a 34 dal 23 gennaio 2023. Allo stesso tempo, la durata media di un server si è notevolmente ridotta da 28 a 8 giorni. L'osservazione più preoccupante, tuttavia, è che IcedID stia probabilmente utilizzando alcune vittime come canali per operazioni di spamming, grazie alle capacità SOCKS del modulo BC. Questo scenario amplifica le conseguenze per le vittime, causando danni non solo attraverso dati e perdite finanziarie, ma anche attraverso l'ulteriore sfruttamento della facilitazione della diffusione di IcedID.