محققان شرکت IBM از انتشار بدافزار بانکی جدیدی با عنوان IcedID خبر دادهاند.
با وجود شباهت فراوان عملکردی و قابلیتی IcedID با دیگر بدافزارهای بانکی از جمله Gozi،و Zeus و Dridex به نظر نمیرسد که این بدافزار مبتنی بر کدهای آنها توسعه داده شده باشد.
به گزارش شرکت مهندسی شبکه گستر، بدافزار IcedID از سپتامبر سال میلادی جاری چندین بانک، سیستم حقوق و دستمزد، سرور ایمیل و سایت تجاری را در آمریکا، کانادا و انگلیس هدف قرار داده است.
بر طبق بررسی های انجام شده IcedID از طریق شبکه مخرب Emotet در حال توزیع شدن است. Emotet خود نیز از طریق هرزنامههایی که معمولاً یک فایل Office حاوی ماکرو مخرب به آنها پیوست شده منتشر میشود. با تسخیر شدن دستگاه توسط Emotet مهاجمان از آن به عنوان ابزاری برای توزیع IcedID استفاده میکنند.
یکی از ویژگی های خاص IcedID، در مقایسه با سایر بدافزارهای بانکی توانایی انتشار آن در سطح شبکه است. موضوعی که میتواند نشانهای از قصد نویسندگان این بدافزار در هدف قرار دادن سازمانهای بزرگ باشد. توانایی انتشار در سطح شبکه در میان بدافزارهایی همچون جاسوسافزارها موضوعی عادی محسوب میشود اما چنین قابلیتی در کمتر بدافزار بانکی به چشم میخورد.
همچنین مشابه GootKit، بدافزار IcedID نیز فعالیتهای برخط قربانی را با راهاندازی یک پراکسی محلی بر روی دستگاه رصد میکند.
در دستگاه آلوده شده نشانی سایتهای مجاز بانکی و نشان گواهینامه SSL در مرورگر بصورت کاملاً عادی نمایش داده میشوند.
این بدافزار فعالیتهای کاربر را در سایت رصد کرده و در زمانهای خاص اقدام به تزریق کد (Code Injection) به صفحه وب نمایش داده شده در مرورگر میکند. در نتیجه این اقدام، کاربر به سایتهای جعلی هدایت شده و با وارد کردن اطلاعات اصالتسنجی بانکی در سایت تحت کنترل مهاجمان این اطلاعات در قالب ارتباطات رمزگذاری شده به سرور آنها ارسال میشود.
IcedID دارای کنسولی نیز برای مدیریت حملات تزریق کد در این بدافزار است (تصویر زیر).
وجود چنین کنسولهایی معمولاً در میان آن دسته از تبهکاران سایبری رواج دارد که اقدام به فروش یا اجاره دادن بدافزار خود میکنند. هر چند که خوشبختانه موردی در خصوص فروش یا اجاره IcedID در بازارهای زیرزمینی نفوذگران گزارش نشده است.
ساختار کدنویسی و مبتنی بر ماژول بودن آن از حرفهای بودن نویسندگان IcedID حکایت دارد.
هر چند برخی محققان، IcedID را محصول گروهی جدید میدانند اما این احتمال را نیز باید در نظر گرفت که نویسندگان IcedID افرادی متشکل از ویروسنویسانی قدیمی باشند که در سالهای اخیر خبری از آنها نبوده است.
برخی توضیحات درج شده در کد IcedID نشان دهنده روسی زبان بودن حداقل برخی از نویسندگان آن است.
مشروح گزارش شرکت IBM در اینجا قابل دریافت و مطالعه است.