IcedID؛ بدافزاری بانکی با ویژگی‌های خاص

محققان شرکت IBM از انتشار بدافزار بانکی جدیدی با عنوان IcedID خبر داده‌اند.

با وجود شباهت فراوان عملکردی و قابلیتی IcedID با دیگر بدافزارهای بانکی از جمله Gozi،و Zeus و Dridex به نظر نمی‌رسد که این بدافزار مبتنی بر کدهای آنها توسعه داده شده باشد.

به گزارش شرکت مهندسی شبکه گستر، بدافزار IcedID از سپتامبر سال میلادی جاری چندین بانک، سیستم حقوق و دستمزد، سرور ایمیل و سایت تجاری را در آمریکا، کانادا و انگلیس هدف قرار داده است.

بر طبق بررسی های انجام شده IcedID از طریق شبکه مخرب Emotet در حال توزیع شدن است. Emotet خود نیز از طریق هرزنامه‌هایی که معمولاً یک فایل Office حاوی ماکرو مخرب به آنها پیوست شده منتشر می‌شود. با تسخیر شدن دستگاه توسط Emotet مهاجمان از آن به عنوان ابزاری برای توزیع IcedID استفاده می‌کنند.

یکی از ویژگی های خاص IcedID، در مقایسه با سایر بدافزارهای بانکی توانایی انتشار آن در سطح شبکه است. موضوعی که می‌تواند نشانه‌ای از قصد نویسندگان این بدافزار در هدف قرار دادن سازمان‌های بزرگ باشد. توانایی انتشار در سطح شبکه در میان بدافزارهایی همچون جاسوس‌افزارها موضوعی عادی محسوب می‌شود اما چنین قابلیتی در کمتر بدافزار بانکی به چشم می‌خورد.

همچنین مشابه GootKit، بدافزار IcedID نیز فعالیت‌های برخط قربانی را با راه‌اندازی یک پراکسی محلی بر روی دستگاه رصد می‌کند.

در دستگاه آلوده شده نشانی سایت‌های مجاز بانکی و نشان گواهینامه SSL در مرورگر بصورت کاملاً عادی نمایش داده می‌شوند.

این بدافزار فعالیت‌های کاربر را در سایت رصد کرده و در زمان‌های خاص اقدام به تزریق کد (Code Injection) به صفحه وب نمایش داده شده در مرورگر می‌کند. در نتیجه این اقدام، کاربر به سایت‌های جعلی هدایت شده و با وارد کردن اطلاعات اصالت‌سنجی بانکی در سایت تحت کنترل مهاجمان این اطلاعات در قالب ارتباطات رمزگذاری شده به سرور آنها ارسال می‌شود.

IcedID دارای کنسولی نیز برای مدیریت حملات تزریق کد در این بدافزار است (تصویر زیر).

وجود چنین کنسول‌هایی معمولاً در میان آن دسته از تبهکاران سایبری رواج دارد که اقدام به فروش یا اجاره دادن بدافزار خود می‌کنند. هر چند که خوشبختانه موردی در خصوص فروش یا اجاره IcedID در بازارهای زیرزمینی نفوذگران گزارش نشده است.

ساختار کدنویسی و مبتنی بر ماژول بودن آن از حرفه‌ای بودن نویسندگان IcedID حکایت دارد.

هر چند برخی محققان، IcedID را محصول گروهی جدید می‌دانند اما این احتمال را نیز باید در نظر گرفت که نویسندگان IcedID افرادی متشکل از ویروس‌نویسانی قدیمی باشند که در سال‌های اخیر خبری از آنها نبوده است.

برخی توضیحات درج شده در کد IcedID نشان دهنده روسی زبان بودن حداقل برخی از نویسندگان آن است.

مشروح گزارش شرکت IBM در اینجا قابل دریافت و مطالعه است.