به گزارش کارگروه حملات سایبری سایبربان؛ گونه جدیدی از تروجان بانکی IcedID شناسایی شده است که از طریق دو کمپین اسپم (هرزنامه) جدید انتشار پیدا می کند. این کمپین ها روزانه بیش از 100 بار اعلام حضور می کند!
محققین شرکت امنیت سایبری کسپرسکی اواسط ماه مارس 2 کمپین اسپم جدید را شناسایی کردند که در آن، پیام ها به زبان انگلیسی نوشته شده و فایل زیپ یا لینک هایی منتهی به فایل زیپ در آن مشاهده گردیده است.
کمپین اول به نام DotDat فایل های زیپی را منتشر می کرد که نام موجود در آن فرمت خاصی داشتند. آرشیوهای زیپ شامل فایل اکسل مخربی با همین نام می باشد. این فایل می تواند پی لود مخربی را از طریق یک ماکرو از URL روبرو، دانلود و اجرا کند: [host]/[digits].[digits].dat
در کمپین دوم، ایمیل های اسپم شامل لینک هایی متعلق به وبسایت های هک شده بودند. آرشیوهایی با نام document-XX[.]zip، doc-XX[.]zip و documents[.]zip0 نیز همراه آن ها بودند.
در این کمپین هم به مانند مورد اول، آرشیوها شامل فایل اکسلی همراه با ماکرو بودند که دانلودر تروجانIcedID را دانلود می کردند. این کمپین اسپم در ماه مارس اوج گرفت و در ماه آوریل روندی کاهشی پیدا کرد.
IcedID متشکل از دو بخش می باشد. یک قسمت شامل دانلود کننده ای است که برخی از اطلاعات کاربران را به سرورهای کنترل و فرمان ارسال می کند و بدنه اصلی تروجان را دریافت می کند. قسمت دیگر شاکله اصلی تروجان است که به عنوان یک شل کد پنهان شده در تصویر PNG منتشر می شود.
علاوه بر این موضوع، توسعه دهندگان IcedID دانلودر را دستخوش تغییراتی کردند. در نسخه جدید این تروجان، مهاجمین در کنار استفاده از نسخه x86-64 به جای نسخه x86، سرورهای کنترل و فرمان جعلی را از پیکربندی آن خارج کردند.
بیشترین کاربر مورد هدف قرار گرفته توسط Ligooc ( دانلودر lcedID ) متعلق به کشورهای چین با 15.88 درصد، هند با 11.59 درصد، ایتالیا با 10.73 درصد، آمریکا با 10.73 درصد و آلمان با 8.58 درصد می باشد.
