Бесплатно Экспресс-аудит сайта:

20.08.2020

Троян IcedID научился новым трюкам для обхода решений безопасности

Специалист компании Juniper Networks Пол Кимайонг (Paul Kimayong) сообщил о новой фишинговой кампании, в ходе которой злоумышленники атакуют бизнес с помощью обновленного трояна IcedID.

Широко используемый во время пандемии COVID-19 троян получил новые функции, позволяющие ему оставаться незаметным для жертвы и обходить стандартные решения безопасности. В частности, в IcedID была добавлена парольная защита вложений, обфускация ключевых слов и минималистический макро-код.

В ходе вредоносной кампании, обнаруженной специалистами Juniper Networks в прошлом месяце, на втором этапе атаки в качестве загрузчика злоумышленники используют динамически подключаемую библиотеку (DLL). По словам Кимайонга, это свидетельствует о повышении квалификации киберпреступников.

Новая версия IcedID распространяется через взломанные бизнес-аккаунты - злоумышленники рассылают троян со взломанных учтеных записей клиентам атакованной организации.

В описанной Кимайонгом кампании вредонос рассылался со взломанных учетных записей сотрудников PrepNow.com - частной репетиторской фирмы, работающей в нескольких американских штатах. С почты бухгалтерии злоумышленники отправляли жертве фишинговое письмо со вложенным документом, который якобы являлся счетом. Документ представлял собой защищенный паролем вредоносный ZIP-файл. Благодаря парольной защите файл успешно обходил антивирусные решения. Пароль указывался в тексте письма, и пользователь должен был ввести его самостоятельно, чтобы открыть файл.

Злоумышленники также использовали несколько способов обфускации слова "attached" ("приложенный") в письме. Казалось бы, это сделано не для обхода спам-фильтров, ведь наличие в письме вложенного документа очевидно. "Однако любое незначительное изменение тела письма может изменить некоторые нечеткие хэши, вычисленные решениями безопасности электронной почты для выявления массовых спам-кампаний", - отметил Кимайонг.

Кроме того, злоумышленники повернули задом-наперед имя файла внутри ZIP-файла, что позволило им обойти спам-фильтры в Google Gmail.