Her zamanki çevrimiçi bankacılık sahtekarlığı işlevselliği olmadan yeni buzlu varyantlar bulundu ve bunun yerine tehlikeye atılan sistemlere daha fazla kötü amaçlı yazılım kurmaya odaklandı.
Proofpoint'e göre, bu yeni varyantlar, geçen yılın sonlarından bu yana yedi kampanyada üç farklı tehdit aktör tarafından kullanıldı ve daha da özellikle fidye yazılımı, daha fazla yük sunumuna odaklandı.
Proofpoint, buzlu yükleyicinin iki yeni varyantını tanımladı: “Lite” (ilk olarak Kasım 2022'de görüldü) ve “çatal” (ilk olarak Şubat 2023'te gözlemlenmiştir), her ikisi de daha dar odaklı bir özellik kümesiyle aynı buzlu botu teslim etti.
2017'den bu yana birçok kod değişikliği olmadan çok sayıda kötü niyetli kampanyada dağıtılan IcedID üzerindeki gereksiz işlevlerin kaldırılması, tehdit aktörlerinin algılamadan kaçmasına yardımcı olabilecek daha gizli ve yalın hale getiriyor.
Kasım 2022'den başlayarak, buzlu yükleyicinin “Lite” varyantı, yeni getirilen Emotet kötü amaçlı yazılımlar tarafından enfekte olan sistemlerde ikinci aşama yük olarak teslim edildi.
Kötü amaçlı yazılım yükleyicisinin “çatallı” versiyonu ilk olarak Şubat 2023'te, doğrudan binlerce kişisel fatura temalı kimlik avı e-postası aracılığıyla dağıtıldı.
Bu mesajlar, bir uzaktan bir kaynaktan ibedid getiren bir PowerShell komutunu çalıştıran kötü amaçlı bir HTA dosyası yürütmek için Microsoft OneNote Ekleri (.One) kullandı. Aynı zamanda, kurbana bir tuzak PDF'ye hizmet verilir.
Şubat ayının sonunda, Proofpoint’in araştırmacıları, Ulusal Trafik ve Motorlu Taşıt Güvenliği Yasası ve ABD Gıda ve İlaç İdaresi'nden (FDA) sahte bildirimler aracılığıyla Icedid'i “çatal” dağıtan düşük hacimli bir kampanya gözlemlediler.
Bazı tehdit aktörleri buzlu kötü amaçlı yazılımların yeni varyantlarını kullanırken, diğerlerinin hala 10 Mart 2023 tarihli en son kampanyalardan biriyle “standart” varyantını dağıtmayı seçtiğini belirtmek önemlidir.
“Forked” buzlu yükleyici, rolü açısından “standart” versiyona oldukça benzer, C2'ye temel ana bilgisayar bilgilerini gönderir ve daha sonra buzlu botu getirir.
Ancak, “Forked” farklı bir dosya türü (COM sunucusu) kullanır ve ek etki alanı ve dize-kurutma koduna sahiptir, bu da yükü 12KB'yi “standart” sürümden daha büyük hale getirir.
Öte yandan, “Lite” yükleyici varyantı 20KB'da daha hafiftir ve ana bilgisi bilgiyi C2'ye püskürtmez. Bu değişiklik, ihlal edilen sistemi zaten profilleyen Emotet ile birlikte konuşlandırıldığından beri mantıklı.
Buzlu botun “çatallı” versiyonu, “standart” bottan 64kb daha küçüktür ve temel olarak aynı kötü amaçlı yazılım eksi Web enjekte eder, AITM (ortada düşman) işlevleri ve tehdit aktörlerine uzaktan gelen geri bağlantı özellikleri Enfekte cihazlara erişim.
IcedID genellikle tehdit aktörleri tarafından başlangıç erişiminde kullanılır, bu nedenle yeni varyantlar geliştirmek endişe verici bir işarettir ve botu yükleme için uzmanlaşmaya yönelik bir değişim anlamına gelir.
Proofpoint, çoğu tehdit aktörünün “standart” varyant kullanmaya devam edeceğini öngörüyor, ancak yeni buzlu sürümlerin konuşlandırılması muhtemelen büyüyecek ve daha fazla varyant 2023'te daha sonra ortaya çıkabilir.
Microsoft OneNote dosyalarının pencereleri kötü amaçlı yazılımlarla enfekte etmesini nasıl önleyebilirim
IRS'den sahte W-9 vergi formları olarak dağıtılan Emotet kötü amaçlı yazılım
Emotet kötü amaçlı yazılımı, şimdi savunmalardan kaçmak için Microsoft OneNote dosyalarına dağıtıldı
Microsoft Onenote Son kötü amaçlı yazılım istismarından sonra gelişmiş güvenlik elde etmek için
Emotet kötü amaçlı yazılım saldırıları üç aylık moladan sonra geri döndü
Kaynak: Bleeping Computer