Due nuove campagne IcedID fanno il giro della rete

··1 min lettura
Dario Fadda

È stata scoperta una nuova variante del trojan bancario IcedID che si diffonde tramite due nuove campagne di spam. Queste campagne stanno raggiungendo più di 100 rilevamenti al giorno.

Di cosa si tratta?

A metà marzo, i ricercatori di Kaspersky hanno osservato due nuove campagne di spam, in cui i messaggi erano scritti in inglese e avevano allegati ZIP o collegamenti che portavano a file ZIP.

  • La prima campagna, denominata DotDat, stava diffondendo allegati ZIP che affermavano di essere una sorta di richiesta di risarcimento o operazione annullata con i nomi in un formato specifico.
  • Gli archivi ZIP includono un file MS Excel dannoso con lo stesso nome. Scarica un payload dannoso tramite una macro da un URL con il seguente formato [host]/[cifre].[cifre].dat e lo esegue.
  • Nella seconda campagna, le e-mail di spam includevano collegamenti a siti Web compromessi con archivi dannosi denominati documenti[.]zip0, doc-XX[.]zip, document-XX[.]zip dove XX sta per due cifre casuali.
  • Simile alla prima campagna, gli archivi includevano un file Excel con una macro che scaricava il downloader IcedID. Questa campagna di spam ha raggiunto il picco a marzo e ad aprile ha rallentato.

Il malware IcedID

IcedID è composto da due parti: un downloader che invia alcune informazioni dell’utente al C&C e riceve il corpo principale, e il corpo principale che viene distribuito come shellcode nascosto in un’immagine PNG.

Vedi anche
  • Inoltre, gli autori di IcedID hanno cambiato il downloader. Nella nuova versione, gli aggressori sono passati da x86 a una versione x86-64 e hanno rimosso i falsi C2 dalla configurazione.
  • A marzo, il maggior numero di utenti presi di mira da Ligooc (IcedID downloader) è stato individuato in Cina (15,88%), India (11,59%), Italia (10,73%), Stati Uniti (10,73%) e Germania (8,58%).

Conclusioni

Insieme all’aumento dei tentativi di infezione, gli operatori IcedID hanno apportato alcune modifiche anche al downloader. Ciò suggerisce che gli aggressori stanno migliorando e probabilmente stanno elaborando un nuovo piano per colpire gli utenti a livello globale. Il modo migliore per rimanere protetti da tali minacce è rimanere vigili durante la ricezione di e-mail da mittenti sconosciuti.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Correlati
Precedente
Il gruppo Ursnif sfrutta Cerberus per automatizzare i bonifici bancari fraudolenti in Italia
Successivo
La fuga di dati Mercedes Benz include dettagli di carta di credito e previdenza sociale

Notizie cybersecurity, malware, ransomware e sicurezza dei dati

Contatti

Per qualsiasi informazione/segnalazione editoriale ci potete contattare da tutti i canali social indicati e via mail a: info@spcnet.it

Canale sicuro per Whistlerblowers