De nouvelles variantes d’IcedID ont été trouvées sans la fonctionnalité habituelle de fraude bancaire en ligne et se concentrent plutôt sur l’installation de nouveaux logiciels malveillants sur des systèmes compromis.

Selon Proofpoint, ces nouvelles variantes ont été utilisées par trois acteurs distincts de la menace dans sept campagnes depuis la fin de l’année dernière, se concentrant sur la livraison de charges utiles supplémentaires, notamment les ransomwares.

Proofpoint a identifié deux nouvelles variantes du chargeur IcedID, à savoir « Lite » (vu pour la première fois en novembre 2022) et « Forked » (observé pour la première fois en février 2023), tous deux fournissant le même bot IcedID avec un ensemble de fonctionnalités plus ciblées.

La suppression des fonctions inutiles sur IcedID, qui a été déployée dans de nombreuses campagnes malveillantes sans beaucoup de changements de code depuis 2017, le rend plus furtif et plus léger, ce qui peut aider les acteurs de la menace à échapper à la détection.

Groupes distincts d’activité IcedID

Nouvelles campagnes IcedID
À partir de novembre 2022, la variante « Lite » du chargeur IcedID a été livrée en tant que charge utile de deuxième étape sur les systèmes infectés par le nouveau malware Emotet.

La version « forkée » du chargeur de logiciels malveillants est apparue pour la première fois en février 2023, distribuée directement via des milliers d’e-mails de phishing personnalisés sur le thème des factures.

Ces messages utilisaient des pièces jointes Microsoft OneNote (.one) pour exécuter un fichier HTA malveillant qui, à son tour, exécute une commande PowerShell qui récupère IcedID à partir d’une ressource distante. Dans le même temps, la victime reçoit un PDF leurre.

Pièce jointe OneNote malveillante utilisée dans la campagne récente

Fin février, les chercheurs de Proofpoint ont observé une campagne à faible volume distribuant IcedID « Forked » via de fausses notifications du National Traffic and Motor Vehicle Safety Act et de la Food and Drug Administration (FDA) des États-Unis.

Il est important de noter que si certains acteurs de la menace utilisent de nouvelles variantes du malware IcedID, d’autres choisissent toujours de déployer la variante « Standard », l’une des campagnes les plus récentes datant du 10 mars 2023.

Les nouvelles variantes
Le chargeur IcedID « Forked » est assez similaire à la version « Standard » en termes de rôle, envoyant des informations de base sur l’hôte au C2, puis en récupérant le bot IcedID.

Cependant, « Forked » utilise un type de fichier différent (serveur COM) et comporte un domaine supplémentaire et un code de déchiffrement de chaîne, ce qui rend la charge utile de 12 Ko plus grande que la version « Standard ».

Déchiffrement des domaines

D’autre part, la variante de chargeur « Lite » est plus légère, à 20 Ko, et n’exfiltre pas les informations de l’hôte vers le C2. Ce changement a du sens puisqu’il a été déployé aux côtés d’Emotet, qui avait déjà profilé le système piraté.

La version « Forked » du bot IcedID est 64 Ko plus petite que le bot « Standard », et est fondamentalement le même logiciel malveillant moins le système d’injection Web, les fonctions AiTM (adversaire au milieu) et les capacités de backconnect qui donnent aux acteurs de la menace à distance accès aux appareils infectés.

Comparaison des robots standard et fourchus

IcedID est généralement utilisé pour l’accès initial par les acteurs de la menace, donc le développement de nouvelles variantes est un signe inquiétant, signifiant une évolution vers la spécialisation du bot pour la livraison de la charge utile.

Proofpoint prédit que la plupart des acteurs de la menace continueront d’utiliser la variante « Standard », mais le déploiement de nouvelles versions d’IcedID augmentera probablement, et d’autres variantes pourraient apparaître plus tard en 2023.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *