Verbindung zu Emotet

Forscher warnen vor zwei neuen Varianten der IcedID-Maleware

Die Betreiber des berüchtigten Emotet-Botnets haben sich offenbar mit den Cyberkriminellen hinter IcedID zusammengetan. Forschern zufolge nutzen sie gemeinsam zwei neue Varianten der IcedID-Malware.
Von  und
CSO | 30. März 2023 13:40 Uhr
Security-Forscher haben zwei neue Versionen der IcedID-Malware entdeckt.
Security-Forscher haben zwei neue Versionen der IcedID-Malware entdeckt.
Foto: vectorfusionart - shutterstock.com

Das Security-Unternehmen Proofpoint hat kürzlich zwei neue Varianten der IcedID-Malware entdeckt. Dabei handelt es sich um einen Trojaner, der es ursprünglich auf Online-Banking-Anmeldeinformationen abgesehen hatte. Die Sicherheitsforscher gehen davon aus, dass die Kriminellen hinter der Malware sich jetzt mehr auf die Bereitstellung von Payload konzentrieren, "was wahrscheinlich auch die Bereitstellung von Ransomware beinhaltet".

Im Februar dieses Jahres spürte Proofpoint zunächst die neue Forked-IcedID-Variante auf. Diese verwendet die Standard-IcedID-Payload, die einen Command-and-Control (C2)-Server kontaktiert. Anschließend wird eine DLL und die Forked-Version des IcedID-Trojaners heruntergeladen, bei der die Funktionalität entfernt wurde.

Gleichzeitig beobachteten die Forscher eine weitere IcedID-Version, die sie als Lite-Variante bezeichnen. Dabei wird kein C2-Server verwendet, sondern eine fest codierte statische URL zum Herunterladen einer "Bot Pack"-Datei mit dem Namen botpack.dat. Diese Datei enthält die Loader-DLL, die dann die entschärfte Version des IcedID-Bots herunterlädt. Der Unterschied besteht darin, dass sie ebenfalls keine Informationen über den infizierten Computer an den C2-Server weiterleitet, da sie keinen C2-Server verwendet.

Die Lite-Variante wurde im November als Payload von Emotet beobachtet, einem Botnet, das auch als Plattform zur Verbreitung von Malware genutzt wird und als eine der größten Bedrohungen gilt. Proofpoint ordnet Emotet einer Gruppe zu, die es als TA542 verfolgt. Es ist nicht klar, ob die Lite-Variante von TA542 erstellt wurde oder von einem ihrer Kunden verwendet wird. Die Forscher nehmen jedoch an, dass IcedID-Lite über bestehende Emotet-Infektionen getestet wurde.

Die IcedID-Codebasis sei nun für mehrere Cyberkriminelle verfügbar. Proofpoint geht davon aus, dass in Zukunft neue Varianten auftreten werden.

Lesetipp: Neue Phishing-Kampagnen mit Emotet

IcedID wird von Initial Access Broker bevorzugt

IcedID tauchte erstmals 2017 auf und injizierte bösartige Inhalte in lokale Browsersitzungen - ein Angriff, der als Webinject bekannt ist. Bis zum Jahr 2022 blieb die Codebasis des Trojaners weitgehend unverändert. In den vergangenen Jahren haben jedoch einige Angreifergruppen den Code als Loader für zusätzliche Malware benutzt, anstatt für Bankbetrug.

In den Jahren 2022 und 2023 hat Proofpoint Hunderte von Angriffskampagnen mit dem IcedID-Trojaner beobachtet und konnte sie mit fünf verschiedenen Bedrohungsakteuren in Verbindung bringen. Von diesen agieren die meisten als Initial Access Broker (IAB), das heißt, sie verkaufen den Zugang zu Unternehmensnetzwerken an andere Cyberkriminelle. Dahinter stehen in der Regel Ransomware-Banden.

Eine Gruppe, die Proofpoint als TA578 verfolgt, nutzt IcedID seit Juni 2020. Ihre E-Mail-basierten Malware-Verteilungskampagnen verwenden typischerweise Köder wie "gestohlene Bilder" oder "Copyright-Verletzungen". Nach den Angaben des Sicherheitsanbieters setzen die Angreifer überwiegend die Standardvariante von IcedID ein. Demnach wurden sie aber auch bei der Verbreitung von Bumblebee beobachtet, einem anderen Malware-Loader, der von Initial Access Brokern bevorzugt wird.

Eine weitere Cybergruppe, bei der die IcedID-Standardversion ebenfalls zum Einsatz kommt, heißt TA551 und ist seit 2018 aktiv. Sie nutzt Techniken des E-Mail-Thread-Hijacking, um bösartige Word-Dokumente, PDFs und neuerdings auch OneNote-Dokumente zu verbreiten. Neben IcedID nutzt die Gruppe auch die Malware-Programme SVCReady und Ursnif.

Darüber hinaus haben Proofpoint-Forscher eine zweite Gruppe entdeckt, die E-Mail-Thread-Hijacking und IcedID einsetzt. Diese Gruppe begann im Jahr 2021 mit der Verwendung von IcedID und ist auch für die Verbreitung von Qbot bekannt. Sie wird als TA577 verfolgt. Im Jahr 2022 wurde ein weiterer Bedrohungsakteur beobachtet, der mit Hilfe der IcedID- und Ursnif-Malware Organisationen in Italien und Japan angreift. Die Gruppe wurde als TA544 identifiziert.

Angriffskampagnen, die IcedID Lite und abgespaltene Varianten einsetzen

Seit Februar verfolgt Proofpoint eine neue Gruppe mit der Bezeichnung TA581, die eine Forked-Variante von IcedID verwendet, bei der die Bankbetrugsfunktionen entfernt wurden, einschließlich Webinjects und Backconnect. TA581 ist vermutlich ein anfänglicher Zugangsvermittler. Der Bedrohungsakteur ist auch für die Verwendung der Bumblebee-Malware bekannt.

In den E-Mail-Kampagnen werden geschäftsrelevante Köder wie Gehaltsabrechnungen, Kundeninformationen, Rechnungen und Bestellquittungen verwendet, um eine Vielzahl von Dateitypen oder bösartige URLs zu liefern. Die Forked IcedID-Kampagnen verwendeten insbesondere Microsoft OneNote-Anhänge und ungewöhnliche Anhänge mit der Erweiterung .URL.

In einer Kampagne, bei der die Forked-Variante zum Einsatz kam, verwendeten die Angreifer Köder mit Rechnungsmotiven und forderten eine Bestätigung des Empfängers. Die Empfänger wurden mit ihrem Namen angesprochen, und die E-Mails enthielten Anhänge mit der Endung .one (OneNote-Dateien). Beim Öffnen dieser Dokumente wurde der Empfänger angewiesen, auf die Schaltfläche "Öffnen" im Dokument zu klicken. Dadurch wurde eine HTML-Anwendungsdatei (HTA) gestartet, die einen PowerShell-Befehl ausführte. Daraufhin wurde der IcedID-Loader über den PluginInit-Export von rundll32 geladen. Zudem öffnete sich eine PDF-Ablenkungsdatei.

In einer anderen Kampagne verwendeten die Angreifer Köder wie Produktrückrufmitteilungen im Zusammenhang mit dem National Traffic and Motor Vehicle Safety Act oder der U.S. Food and Drug Administration. Diese E-Mails enthielten .URL-Anhänge, die beim Öffnen den Standardbrowser starten und ein .bat-Skript herunterladen. Dieses Skript lud dann den IcedID-Loader herunter und führte ihn mit der gleichen rundll32-Technik aus.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.
Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.