Специалист компании Juniper Networks Пол Кимайонг (Paul Kimayong) сообщил о новой фишинговой кампании, в ходе которой злоумышленники атакуют бизнес с помощью обновленного трояна IcedID.
Широко используемый во время пандемии COVID-19 троян получил новые функции, позволяющие ему оставаться незаметным для жертвы и обходить стандартные решения безопасности. В частности, в IcedID была добавлена парольная защита вложений, обфускация ключевых слов и минималистический макро-код.
В ходе вредоносной кампании, обнаруженной специалистами Juniper Networks в прошлом месяце, на втором этапе атаки в качестве загрузчика злоумышленники используют динамически подключаемую библиотеку (DLL). По словам Кимайонга, это свидетельствует о повышении квалификации киберпреступников.
Новая версия IcedID распространяется через взломанные бизнес-аккаунты — злоумышленники рассылают троян со взломанных учтеных записей клиентам атакованной организации.
В описанной Кимайонгом кампании вредонос рассылался со взломанных учетных записей сотрудников PrepNow.com — частной репетиторской фирмы, работающей в нескольких американских штатах. С почты бухгалтерии злоумышленники отправляли жертве фишинговое письмо со вложенным документом, который якобы являлся счетом. Документ представлял собой защищенный паролем вредоносный ZIP-файл. Благодаря парольной защите файл успешно обходил антивирусные решения. Пароль указывался в тексте письма, и пользователь должен был ввести его самостоятельно, чтобы открыть файл.
Злоумышленники также использовали несколько способов обфускации слова «attached» («приложенный») в письме. Казалось бы, это сделано не для обхода спам-фильтров, ведь наличие в письме вложенного документа очевидно. «Однако любое незначительное изменение тела письма может изменить некоторые нечеткие хэши, вычисленные решениями безопасности электронной почты для выявления массовых спам-кампаний», — отметил Кимайонг. Кроме того, злоумышленники повернули задом-наперед имя файла внутри ZIP-файла, что позволило им обойти спам-фильтры в Google Gmail.