IcedID prende una nuova svolta: nuove varianti del malware

Proofpoint ha riferito di aver rilevato nuove varianti del malware IcedID, offrendo un focus diverso sull’ulteriore consegna del payload invece che sulla funzionalità di frode bancaria online. Queste nuove varianti sono state utilizzate da tre distinti attori delle minacce in sette campagne dalla fine dello scorso anno, con il ransomware che rappresenta il payload più rilevante.

Si parte con la variante Lite

  • La prima variante si chiama Lite, che è stata osservata nel novembre 2022 ed è stata distribuita come payload di seconda fase sui sistemi infettati dal malware Emotet.
  • Utilizza un URL statico hardcoded per scaricare un file “Bot Pack” con il nome botpack.dat, che contiene la DLL del payload.
  • La variante Lite non utilizza un server C2 e, pertanto, non esfiltra le informazioni sulla macchina infetta al server C2.

Ma poi diventa Forked

  • Da febbraio, il nuovo gruppo di minacce TA581 utilizza una versione Forked di IcedID priva della funzionalità di frode bancaria, come web inject e backconnect.
  • Invece, TA581 sembra essere un broker per l’accesso iniziale ed è noto per utilizzare il malware Bumblebee.
  • In particolare, le campagne Forked IcedID utilizzano allegati Microsoft OneNote e allegati insoliti con estensione .URL per attirare le vittime.
  • A differenza di Lite, Forked utilizza il payload IcedID standard, che contatta un server C2 per scaricare una DLL.

Perché questo cambiamento è importante

Le nuove varianti indicano uno sforzo significativo per il futuro di IcedID.

I ricercatori ipotizzano che un gruppo di attori delle minacce stia impiegando versioni personalizzate di IcedID per spostare l’attenzione del malware dai tradizionali trojan bancari e dalle operazioni di frode verso la distribuzione di payload, con una possibile enfasi sulla distribuzione del ransomware e generare vittime dal valore economico più rilevante.

Inoltre, analizzando la base di codice, la sequenza temporale e la correlazione con le infezioni di Emotet, i ricercatori ipotizzano che gli sviluppatori originali di Emotet possano aver collaborato con gli operatori di IcedID per ampliare le loro operazioni.

Questa partnership potrebbe comportare la sperimentazione della variante Lite che possiede caratteristiche distintive e innovative e presumibilmente è in fase di test tramite le attuali infezioni di Emotet.

La scoperta di nuove varianti del malware IcedID, con una diversa attenzione alla distribuzione del payload, evidenzia le tattiche in evoluzione degli attori delle minacce nel panorama informatico. L’uso di versioni personalizzate sottolinea la necessità di una vigilanza continua e di misure proattive per proteggersi da queste minacce emergenti.