拉巴斯

首页 » 常识 » 问答 » 卡巴斯基IcedID网银木马新变种正在疯
TUhjnbcbe - 2022/4/13 17:42:00

更多全球网络安全资讯尽在邑安全

卡巴斯基研究人员称,一款IcedID网银木马的新变种正在迅速传播,检测峰值甚至达到了每日个。截止年3月,其在德国(8.58%)、意大利(10.73%)、印度(11.59%)和美国(10.73%)等地区的传播力最为显著。与旧版木马相比,新变种利用了修改过的英文下载器,其中包含了经过压缩的ZIP格式恶意软件。网络安全研究人员在3月中旬检测到了传播新变种的垃圾邮件动向

至于IcedID的感染过程,主要分成下载器和本体两个部分。前者将用户信息发送到服务器端,以供恶意软件本体使用。在将自身映射到内存后,后者会将恶意软件进一步渗透到受害者的系统中。

此外该木马还可启动其它恶意操作,比如允许威胁行为者绕过双因素身份验证(2FA)或运行恶意动态链接库(DLL)的Web注入。这两种方法,都允许下载和执行渗透到系统身处的其它恶意模块。

IcedID攻击的地理位置分布

包括下载电子邮件收集器、Web注入模块、密码抓取器、以及hVNC远程控制模块等组件,以执行Web注入、流量拦截、系统接管、以及密码窃取。

至于QBot和IcedID的区别,主要是新变种变得能够利用x86-64CPU架构、从服务器端移除了假配置、且核心也略有改动,因为作者决定不将shellcode交换为包含一些加载程序数据的常规PE文件。

QBot攻击的地理位置分布

最后,网络攻击涉及的一些IP/域名,涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、..[.]、以及Apoxiolazio55[.]space。

原文来自:cnbeta.

1
查看完整版本: 卡巴斯基IcedID网银木马新变种正在疯