Zwei neue Varianten der berüchtigten IcedID-Malware wurden entdeckt, aber beiden fehlen einige charakteristische Merkmale, was Sicherheitsexperten neugierig auf ihren Zweck macht.
Cybersicherheitsforscher von Proofpoint haben seit Februar bekannt gegeben (öffnet sich in einem neuen Tab), dass sie zwei Versionen von IcedID verfolgt haben, eine mit dem Namen „Lite“ und die andere mit dem Namen „Forked“.
Beiden fehlen die üblichen Online-Banking-Betrugsfunktionen, sondern fungieren stattdessen als Dropper für aufwändigere Kampagnen.
Stealth-Malware-Taktiken
Proofpoint sagt, dass seit Ende letzten Jahres mindestens drei verschiedene Hacking-Gruppen beide Versionen in sieben Kampagnen verwendet haben. Diese Gruppen nutzten IcedID offenbar als Sprungbrett für Ransomware-Infektionen.
Es ist nicht genau klar, warum Bedrohungsakteure beschlossen haben, IcedID seiner einzigartigen Funktionen zu berauben. Einige Berichte deuten jedoch darauf hin, dass das Entfernen „unnötiger“ Funktionen es verstohlener und leichter macht und Cyberkriminellen hilft, länger verborgen zu bleiben.
Auch die Art und Weise, wie IcedID an die Opfer ausgegeben wird, ist unterschiedlich. In einigen Fällen verbreiteten Angreifer Phishing-E-Mails mit Microsoft OneNote-Anhängen. In anderen Fällen würden sie Emotet verwenden.
Die Forscher stellten fest, dass die Existenz von zwei neuen Varianten nicht bedeutet, dass die ursprüngliche Malware nicht mehr verwendet wird.
Noch am 10. März 2023 entscheiden sich einige Bedrohungsakteure für die Implementierung dessen, was Proofpoint als „Standard“-Variante bezeichnet. Die Forscher gehen davon aus, dass sich die meisten Bedrohungsakteure weiterhin für die Standardvariante entscheiden werden, auch wenn Lite und Forked in diesem Jahr an Popularität gewinnen könnten.
IcedID ist ein alter modularer Banking-Trojaner, der normalerweise zur Bereitstellung von Malware der zweiten Stufe verwendet wird. Bisher haben Cybersicherheitsforscher gesehen, dass es in unzähligen Kampagnen verwendet wird, hauptsächlich von Zugangsmaklern, um Zugang zu hochwertigen Netzwerken und Geräten zu erhalten und dann zu verkaufen.
Eine solche Gruppe war TA551, ein Bedrohungsakteur ohne konkrete Verbindungen zu einem Nationalstaat. Die Gruppe wurde gesehen, wie sie im vergangenen April über IcedID erhaltene Zugangsdaten verkaufte.