IceID è uno dei nuovi protagosniti della famiglia dei trojan bancari. Ha un'architettura modulare e la capacità di sottrarre le credenziali bancarie agli utenti tramite un attacco MITM (man-in-the-middle). IceID imposta un proxy locale e reindirizza tutto il traffico Internet attraverso questo. Inoltre può scaricare ed eseguire le componenti necessarie a rimanere invisibile.

Normalmente IceID viene diffuso tramite email di spam o viene scaricato da malware di altre famiglie. Nella nostra analisi IceID viene scaricato dalla famiglia Emotet. Nei primi del 2017 Emotet è stato ampiamente usato per diffondere altri trojan bancari come Qkabot e Dridex. 

IceID ha anche un modulo per la diffusione nella rete, peculiarità raramente osservata in altro trojan bancari. Guardando la sequenza API in IceID, notiamo che ha adottato tecniche usate con successo da altri malware come BadRabbit e NotPetya. 

In esecuzione, il malware copia se stesso nella cartella %LOCAL_APPDATA%  con un nome random e in una cartella anch'essa rinominata in maniera random. Il nome del file e quello della cartella contengono 9 caratteri. Il nome del file scaricato è generato usando l'identificatore di sicurezza (SID) dell'utente corrente. Sotto il codice che genera il SID per l'utente correntemente loggato. 

Il nome del file scaricato nella cartella con nome random segue il seguente schema:

Nel nostro caso:

“C:\Documents and Settings\Administrator\Local Settings\Application Data\homatluna\homatluna.exe”

IceID si garantisce la persistenza sul sistema attraverso l'aggiunta di una voce di registro in "Run"

“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\homatluna”

Quindi IceID scrive una chiave di criptazione RSA per il sistema nella cartella AppData. Quindi scrive un file crtificato nella cartella %TEMP%. Esempio:

Example – “C:\Documents and Settings\Administrator\Local Settings\Temp\0137194B.tmp”

Crea due connessioni socket. Una per il proxy locale e l'altra che serve come backdoor per le comunicazioni C&C. Nella nostra analisi, la prima viene aperta sulla porta 49158, mentre la backdoor è creata sulla porta numero 49161.

Crea un proxy in locale. L'uso di certificati di differenti banche e di moduli personalizzati, implementano il suo livello SSL. Facendo ciò esegue l'attacco MITM. IceID può intercettare tutto il traffico ed estrarre quindi da questo le credenziali. 

Una volta che il malware è entrato nel sistema, invia al server C&C l'ID del nodo e le informazioni basilari sul sistema, attraverso richieste POST. 

Qui sotto mettiamo i dettagli della richiesta post decodificata:

K - nome del sistema

B - BOT ID

L - Work Group

M - versione del SO. 

Le comunicazioni di IceID con il server C&C avvengono tramite un SSL criptato, il cui certificato è deciso dal malware stesso, scelto nell'archio dei certificati. Il file temp che viene copiato dal malware è usato per archiviare i certificati. Il codice sottostante è usato per enumerare le certificazioni.

La diffusione nella rete

IceID, a differenza di altri trojan bancari, si diffonde nella rete. Prima cioè si connette alle altre macchine in rete:

quindi scarica una copia nell'altro sistema sulla rete. 

Quick Heal individua con successo IceID come Trojan.IcedID.