Plusieurs acteurs de la menace ont été observés utilisant deux nouvelles variantes du logiciel malveillant IcedID dans la nature avec des fonctionnalités plus limitées qui suppriment les fonctionnalités liées à la fraude bancaire en ligne.
IcedID, également connu sous le nom de BokBot, a commencé comme un cheval de Troie bancaire en 2017. Il est également capable de fournir des logiciels malveillants supplémentaires, y compris des ransomwares.
« La version bien connue d’IcedID consiste en un chargeur initial qui contacte un chargeur [command-and-control] serveur, télécharge le chargeur DLL standard, qui fournit ensuite le Bot IcedID standard, » Proofpoint a dit dans un nouveau rapport publié lundi.
L’une des nouvelles versions est une variante Lite qui a été précédemment mise en évidence comme étant abandonnée en tant que charge utile de suivi par le logiciel malveillant Emotet en novembre 2022. Une autre nouvelle observation en février 2023 est une variante forkée d’IcedID.
Ces deux variantes sont conçues pour abandonner ce qu’on appelle une version fourchue d’IcedID Bot qui laisse de côté les injections Web et la fonctionnalité de backconnect qui seraient généralement utilisées pour la fraude bancaire, a noté la société de sécurité d’entreprise.
« Il est probable qu’un groupe d’acteurs malveillants utilise des variantes modifiées pour éloigner le malware des activités typiques de cheval de Troie bancaire et de fraude bancaire pour se concentrer sur la livraison de la charge utile, ce qui inclut probablement la priorisation de la livraison des ransomwares », a noté Proofpoint.
La campagne de février a été liée à un nouveau groupe baptisé TA581, l’acteur menaçant distribuant la variante Forked à l’aide de pièces jointes Microsoft OneNote militarisées. Un autre malware utilisé par TA581 est le chargeur Bumblebee.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la façon de minimiser les risques.
Au total, la variante Forked IcedID a été utilisée dans sept campagnes différentes à ce jour, dont certaines ont été entreprises par des courtiers d’accès initiaux (IAB).
L’utilisation des infections Emotet existantes pour fournir la variante Lite a soulevé la possibilité d’un partenariat potentiel entre les développeurs Emotet et les opérateurs IcedID.
« Alors qu’historiquement, la fonction principale d’IcedID était un cheval de Troie bancaire, la suppression de la fonctionnalité bancaire s’aligne sur l’évolution globale du paysage loin des logiciels malveillants bancaires et l’accent croissant mis sur le fait d’être un chargeur pour les infections de suivi, y compris les ransomwares », ont déclaré les chercheurs.
