IcedID Banking-Trojaner taucht auf: Der neue Emotet?

Cyber Security News

Eine weit verbreitete E-Mail-Kampagne, die bösartige Microsoft Excel-Anhänge und Excel 4-Makros verwendet, verbreitet IcedID in großen Mengen, was darauf hindeutet, dass er die Lücke von Emotet füllt.

Der unter dem Namen IcedID bekannte Banking-Trojaner scheint den Platz des kürzlich gestörten Emotet-Trojaners einzunehmen, so die Forscher.

IcedID (auch bekannt als BokBot) ähnelt Emotet insofern, als dass es sich um eine modulare Malware handelt, die ursprünglich als Banking-Trojaner zum Stehlen von Finanzdaten eingesetzt wurde. Laut den Forschern wird er jedoch zunehmend als Dropper für andere Malware verwendet – genau wie Emotet.

Laut Ashwin Vamshi und Abhijit Mohanta, Forscher bei Uptycs, ist die Malware dank einer Reihe von E-Mail-Kampagnen mit Microsoft Excel-Tabellenanhängen immer häufiger im Umlauf.

Tatsächlich hat die Telemetrie von Uptycs in den ersten drei Monaten des Jahres mehr als 15.000 HTTP-Anfragen von mehr als 4.000 bösartigen Dokumenten aufgezeichnet, von denen die meisten (93 Prozent) Microsoft Excel-Tabellen mit den Erweiterungen .XLS oder .XLSM waren.

Wenn sie geöffnet wurden, wurden die Zielpersonen aufgefordert, “Inhalte zu aktivieren”, um die Nachricht anzuzeigen. Das Aktivieren des Inhalts ermöglicht die Ausführung eingebetteter Excel 4-Makroformeln.

“.XLSM unterstützt die Einbettung von Excel 4.0-Makroformeln, die in Excel-Tabellenzellen verwendet werden”, heißt es in einer am Mittwoch veröffentlichten Analyse. “Angreifer nutzen diese Funktionalität aus, um beliebige Befehle einzubetten, die in der Regel eine bösartige Nutzlast von der URL herunterladen, die die Formeln im Dokument verwendet.” Die URLs gehören in der Regel zu legitimen, aber kompromittierten Websites, fügten sie hinzu.

Bei näherer Betrachtung der Aktivitäten konnten sie Ähnlichkeiten zwischen allen Angriffen feststellen, die auf eine koordinierte Kampagne hindeuten. Zum Beispiel wurden die Dokumente alle mit geschäftsbezogenen Vanille-Namen versehen, wie “überfällig”, “Forderung” oder “Beschwerde und Entschädigungsforderung”, zusammen mit einer zufälligen Reihe von Zahlen. Und die HTTP-Anfragen lieferten alle eine ausführbare Datei der zweiten Stufe (entweder eine .EXE- oder eine .DLL-Datei), die mit einer gefälschten Erweiterung – entweder .DAT, .GIF oder .JPG – verschleiert wurde.

In Wirklichkeit handelte es sich bei den Dateien entweder um die Malware-Familien IcedID oder QakBot.

Aus der Perspektive der Umgehung der Erkennung verwendeten die Makros auch alle drei Techniken, um verborgen zu bleiben: “Bei der Untersuchung haben wir drei interessante Techniken identifiziert, die verwendet werden, um die Analyse zu verhindern”, so die Forscher. “Das Verstecken von Makroformeln in drei verschiedenen Blättern; das Maskieren der Makroformel mit einer weißen Schrift auf weißem Hintergrund; und das Schrumpfen des Zellinhalts und das Unsichtbarmachen des ursprünglichen Inhalts.”

Wird IcedID das Emotet ersetzen?

Emotet, das bis zu seiner Unterbrechung im Januar in durchschnittlich 100.000 bis eine halbe Million E-Mails pro Tag verpackt war – was Europol dazu veranlasste, es als die “gefährlichste Malware der Welt” zu bezeichnen.

Emotet wird häufig als First-Stage-Loader verwendet, der die Aufgabe hat, sekundäre Malware-Nutzlasten abzurufen und zu installieren, darunter Qakbot, die Ryuk-Ransomware und TrickBot. Die Betreiber vermieten ihre Infrastruktur oft an andere Cyberkriminelle in einem Malware-as-a-Service-Modell (MaaS). Wie auch immer,

“Operation LadyBird”, eine globale Takedown-Aktion zu Beginn des Jahres, unterbrach Hunderte von Botnet-Servern, die Emotet unterstützten, und beseitigte aktive Infektionen auf mehr als 1 Million Endpunkten weltweit. Die Malware hat seitdem kein wirkliches Wiederaufleben erlebt und hinterlässt eine Lücke auf dem Markt der Cyberkriminalität, wenn es um erste Zugangsmöglichkeiten geht.

Die Menge der zirkulierenden IcedID-Samples veranlasste die Forscher von Uptycs zu der Annahme, dass es sich um einen wahrscheinlichen Kandidaten für das neue Emotet handelt.

“Basierend auf diesem zunehmenden Trend glauben wir, dass IcedID als eine Inkarnation von Emotet nach dessen Unterbrechung auftauchen wird”, bemerkten Vamshi und Mohanta. “Von IcedID wurde kürzlich auch berichtet, dass es Ransomware einsetzt und sich auf ein MaaS-Modell zur Verteilung von Malware zubewegt.”

Haben Sie sich jemals gefragt, was in Untergrundforen für Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com