I ricercatori di Proofpoint hanno scoperto due nuove varianti del noto malware IcedID, già usate da almeno tre gruppi di cybercriminali. IcedID Lite viene distribuito come payload aggiuntivo da Emotet, mentre Forked IcedID è simile all’originale, ma con meno funzionalità “bancarie”.
IcedID e i suoi derivati
La versione originale di IcedID è un classico trojan bancario che tenta di rubare le credenziali di login ai conti correnti. La funzionalità principale delle nuove varianti è invece la distribuzione di altri malware, tra cui ransomware. La variante IcedID Lite è stato individuata per la prima volta a novembre 2022, mentre Forked IcedID è apparsa per la prima volta a febbraio 2023. Quest’ultima è stata analizzata in dettaglio da Proofpoint.
La catena di infezione inizia con l’invio di email di phishing con documenti Microsoft OneNote in allegato. Nel documento è presente un pulsante da cliccare per visualizzare il contenuto. Se l’ignara vittima segue il consiglio viene eseguito un file HTA che a sua volta esegue uno script PowerShell. Quest’ultimo scarica il loader di IcedID dal server remoto. Sullo schermo viene solo mostrato un documento PDF “esca”.
La variante Forked è più piccola di quella standard, in quanto sono state eliminate alcune funzionalità. Non consente di effettuare attacchi AiTM (Adversary in The Middle) e di accedere da remoto al dispositivo compromesso. La versione standard viene ancora utilizzata. Le nuove varianti permettono di eseguire attività specifiche, come la distribuzione di ransomware.