Numerosi attori delle minacce sono stati osservati nell’uso di due nuove varianti del malware IcedID con funzionalità limitate, che eliminano quelle relative alle frodi bancarie online. IcedID, conosciuto anche come BokBot, è nato come trojan bancario nel 2017 ed è in grado di distribuire ulteriori malware, tra cui il ransomware.
Le nuove varianti di IcedID e le loro funzioni
Secondo un nuovo rapporto pubblicato da Proofpoint, una delle nuove versioni è una variante Lite, precedentemente segnalata come payload distribuito dal malware Emotet nel novembre 2022. A febbraio 2023, è stata inoltre osservata una variante Forked di IcedID. Entrambe queste varianti sono progettate per distribuire una versione Forked di IcedID Bot che esclude le funzionalità di web inject e backconnect, tipicamente utilizzate per le frodi bancarie.
Cambio di obiettivo e distribuzione del malware
Proofpoint rileva che è probabile che un gruppo di attori delle minacce stia utilizzando queste varianti modificate per far evolvere il malware, passando dall’essere un tipico trojan bancario e concentrarsi sulla distribuzione di payload, tra cui la distribuzione di ransomware. La campagna di febbraio è stata collegata a un nuovo gruppo chiamato TA581, che distribuisce la variante Forked utilizzando allegati di Microsoft OneNote compromessi. Un altro malware utilizzato da TA581 è il loader Bumblebee.
Campagne e possibili collaborazioni tra gruppi
La variante Forked di IcedID è stata impiegata in sette diverse campagne finora, alcune delle quali condotte da broker di accesso iniziale (IAB). L’utilizzo di infezioni Emotet preesistenti per distribuire la variante Lite ha sollevato la possibilità di una potenziale partnership tra gli sviluppatori di Emotet e gli operatori di IcedID.
L’evoluzione del malware nel panorama delle minacce
Gli esperti di Proofpoint affermano: “Sebbene storicamente la funzione principale di IcedID fosse quella di un trojan bancario, la rimozione delle funzionalità bancarie si allinea al cambiamento del panorama delle minacce, che si allontana dai malware bancari e si concentra sempre di più su loader per infezioni successive, tra cui il ransomware”.
