Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

IceId- un nuovo, sofisticato Trojan bancario: un'analisi tecnica dei Lab di sicurezza Quick Heal
- VENERDÌ 1 DICEMBRE 2017


IceID è uno dei nuovi protagosniti della famiglia dei trojan bancari. Ha un'architettura modulare e la capacità di sottrarre le credenziali bancarie agli utenti tramite un attacco MITM (man-in-the-middle). IceID imposta un proxy locale e reindirizza tutto il traffico Internet attraverso questo. Inoltre può scaricare ed eseguire le componenti necessarie a rimanere invisibile.

Vettore d'infezione
Normalmente IceID viene diffuso tramite email di spam o viene scaricato da malware di altre famiglie. Nella nostra analisi IceID viene scaricato dalla famiglia Emotet. Nei primi del 2017 Emotet è stato ampiamente usato per diffondere altri trojan bancari come Qkabot e Dridex. 

IceID ha anche un modulo per la diffusione nella rete, peculiarità raramente osservata in altro trojan bancari. Guardando la sequenza API in IceID, notiamo che ha adottato tecniche usate con successo da altri malware come BadRabbit e NotPetya. 

Analisi tecnica
In esecuzione, il malware copia se stesso nella cartella %LOCAL_APPDATA%  con un nome random e in una cartella anch'essa rinominata in maniera random. Il nome del file e quello della cartella contengono 9 caratteri. Il nome del file scaricato è generato usando l'identificatore di sicurezza (SID) dell'utente corrente. Sotto il codice che genera il SID per l'utente correntemente loggato. 


Il nome del file scaricato nella cartella con nome random segue il seguente schema:
“%LOCALAPPDATA%\[a-z]{9}\[a-z]{9}.exe”

Nel nostro caso:
“C:\Documents and Settings\Administrator\Local Settings\Application Data\homatluna\homatluna.exe”

IceID si garantisce la persistenza sul sistema attraverso l'aggiunta di una voce di registro in "Run"

“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\homatluna”

Quindi IceID scrive una chiave di criptazione RSA per il sistema nella cartella AppData. Quindi scrive un file crtificato nella cartella %TEMP%. Esempio:
Example – “C:\Documents and Settings\Administrator\Local Settings\Temp\0137194B.tmp”

Attività di rete:
Crea due connessioni socket. Una per il proxy locale e l'altra che serve come backdoor per le comunicazioni C&C. Nella nostra analisi, la prima viene aperta sulla porta 49158, mentre la backdoor è creata sulla porta numero 49161.

Crea un proxy in locale. L'uso di certificati di differenti banche e di moduli personalizzati, implementano il suo livello SSL. Facendo ciò esegue l'attacco MITM. IceID può intercettare tutto il traffico ed estrarre quindi da questo le credenziali. 

Una volta che il malware è entrato nel sistema, invia al server C&C l'ID del nodo e le informazioni basilari sul sistema, attraverso richieste POST. 

Il codice per raccogliere le info basilari sul sistema



Qui sotto mettiamo i dettagli della richiesta post decodificata:

K - nome del sistema
B - BOT ID
L - Work Group
M - versione del SO. 

Le comunicazioni di IceID con il server C&C avvengono tramite un SSL criptato, il cui certificato è deciso dal malware stesso, scelto nell'archio dei certificati. Il file temp che viene copiato dal malware è usato per archiviare i certificati. Il codice sottostante è usato per enumerare le certificazioni.

Il codice per enumerare i certificati

I certificati contenuti nel file temp

La diffusione nella rete
IceID, a differenza di altri trojan bancari, si diffonde nella rete. Prima cioè si connette alle altre macchine in rete:


quindi scarica una copia nell'altro sistema sulla rete. 



Indicatori di compromissione: 
csuwbru[.]net
comeontrk[.]com
medicalciferol[.]com
38921f28bb74fea2cab6e70039ee65f3
d982c6de627441765c89da5cfeb04d6f
82d6e69df2277073d4aaacd6994ee033

Quick Heal individua con successo IceID come Trojan.IcedID.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MERCOLEDÌ 5 AGOSTO 2020
I software antivirus impattano negativamente le performance di gioco?
Sei un gamer? Una di quelle persone per le quali è fondamentale mantenere più alte possibili le performance del pc per garantire fluidità del gioco, qualità audio e video...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2020 nwk - Privacy Policy - Cookie Policy - Login