.webp)
تمت ملاحظة العديد من الجهات الفاعلة في التهديد باستخدام نوعين مختلفين من البرامج الضارة IcedID في البرية مع وظائف أكثر محدودية تزيل الوظائف المتعلقة بالاحتيال المصرفي عبر الإنترنت.
بدأ IcedID ، المعروف أيضًا باسم BokBot ، باعتباره حصان طروادة مصرفي في عام 2017. كما أنه قادر على تقديم برامج ضارة إضافية ، بما في ذلك برامج الفدية.
قال Proofpoint في تقرير جديد نُشر يوم الإثنين: "يتكون إصدار IcedID المعروف جيدًا من محمل أولي يتصل بخادم Loader [القيادة والتحكم] ، ويقوم بتنزيل DLL Loader القياسي ، والذي يقوم بعد ذلك بتسليم IcedID Bot القياسي".
أحد الإصدارات الجديدة هو الإصدار Lite الذي تم تسليط الضوء عليه سابقًا باعتباره حمولة متابعة بواسطة برنامج Emotet الضار في نوفمبر 2022. كما لوحظ حديثًا في فبراير 2023 هو متغير Forked لـ IcedID.
تم تصميم هذين المتغيرين لإسقاط ما يسمى بالإصدار Forked من IcedID Bot الذي يتجاهل وظائف الويب ووظائف الاتصال الخلفي التي يمكن استخدامها عادةً للاحتيال المصرفي ، حسبما أشارت شركة أمان المؤسسة.
وأشار Proofpoint إلى أنه "من المحتمل أن تستخدم مجموعة من الجهات الفاعلة في التهديد متغيرات معدلة لتحويل البرامج الضارة بعيدًا عن نشاط التروجان المصرفي المعتاد ونشاط الاحتيال المصرفي للتركيز على تسليم الحمولة ، والذي يتضمن على الأرجح إعطاء الأولوية لتسليم برامج الفدية".
تم ربط حملة شهر فبراير بمجموعة جديدة تم تسميتها TA581 ، حيث قام ممثل التهديد بتوزيع متغير Forked باستخدام مرفقات Microsoft OneNote المسلحة. برنامج ضار آخر يستخدمه TA581 هو محمل Bumblebee .
بشكل عام ، تم استخدام متغير Forked IcedID في سبع حملات مختلفة حتى الآن ، تم تنفيذ بعضها بواسطة وسطاء الوصول الأولي (IABs).
أدى استخدام عدوى Emotet الحالية لتقديم متغير Lite إلى زيادة إمكانية الشراكة المحتملة بين مطوري Emotet ومشغلي IcedID.
قال الباحثون: "في حين أن الوظيفة الرئيسية لـ IcedID تاريخيًا كانت عبارة عن حصان طروادة مصرفي ، فإن إزالة الوظائف المصرفية تتماشى مع المشهد العام للتحول بعيدًا عن البرامج الضارة المصرفية والتركيز المتزايد على كونه أداة تحميل لمتابعة الإصابات ، بما في ذلك برامج الفدية".