Исследователи Cymru заявили , что операторы вредоносного ПО IcedID используют самые разные методы распространения, чтобы определить, какие из них лучше всего работают против разных целей. Более того, аналитики заметили изменения в управлении IP-адресами серверов управления и контроля (C&C), которые отрицательно повлияли на инфраструктуру хакеров. Вредоносное ПО IcedID появилось в 2017 году как модульный банковский троян , но с тех пор превратилось в дроппер, который обычно используется для получения первоначального доступа к корпоративным сетям. В кампаниях IcedID используются фишинговые электронные письма для передачи IcedID через ISO-файлы, архивы или вложения документов с макросами. При этом IcedID уклоняется от обнаружения и устанавливает постоянство на хосте. В итоге вредоносное ПО устанавливает прокси-сервер для связи с C&C-сервером через HTTPS и доставляет дополнительные полезные нагрузки.
В период с 13 по 21 сентября аналитики Cymru заметили следующие способы доставки IcedID:
Защищенный паролем ZIP -> ISO -> LNK -> JS -> CMD или BAT -> DLL;
Защищенный паролем ZIP -> ISO -> CHM -> DLL;
Защищенный паролем ZIP -> ISO -> LNK -> BAT -> DLL;
Вредоносные документы Word или Excel, содержащие макросы;
Доставляется напрямую через сервис PrivateLoader с оплатой за установку.
В этих кампаниях использовался либо итальянский, либо английский язык, причем английский язык имел больший успех. Cymru отмечает, что кампания с использованием цепочки ISO → LNK была самой успешной, на втором месте кампании PrivateLoader, в которых использовались файлы-приманки, связанные с видеоиграми. Кампании с использованием CHM-файлов были наименее успешными и применялись в ограниченном масштабе, вероятно, для пробного тестирования. С середины сентября операторы IcedID начали повторно использовать IP-адреса и домены для своих C&C-серверов. Раньше они использовали уникальные IP-адреса для каждой кампании. Другим заметным изменением является более короткий срок службы IP-адресов C&C-серверов, которые ранее были «припаркованы» в среднем на 31 день, чтобы обойти системы безопасности и брандмауэры, которые блокируют недавно зарегистрированные домены. Теперь IcedID использует недавно зарегистрированные домены для своих C&C-серверов. По словам Cymru, когда злоумышленники подключили к сети новые C&C-серверы до того, как была включена другая инфраструктура, это привело к разрыву связи. Трафик потенциальной жертвы попадает на C&C-сервер, но никуда не уходит. Лучший способ свести к минимуму вероятность заражения IcedID — тщательно проверять входящие электронные письма на наличие признаков мошенничества или фишинга и с подозрением относиться ко всем нежелательным сообщениям.