Az IcedID (más néven BokBot) egy először 2017-ben megfigyelt banki trójai, mely távoli hozzáférést is biztosít. (RAT) Az IcedID egy második fázisú kártevő, amely más első fázisú kártevőkre, például az Emotetre támaszkodik az elsődleges hozzáférés megszerzése és telepítése érdekében.
Az IcedID nemcsak az áldozatok pénzügyi információit képes ellopni, hanem dropperként is funkcionál: gyakran más második fázisú kártevők, köztük zsarolóprogramok telepítésére is szolgál. Emellett képes egy hálózaton oldalirányban terjedni.
Elsősorban a Shatak csoport (TA551) alkalmazza előszeretettel, malware as a service-ként, anyagi haszonszerzés céljából. Mivel a szoftver a mai napig használatban van, és folyamatosan fejlesztik, ezért hagyományos signature és hálózatelemzési módszerekkel nehezen észrevehető egy esetleges fertőzés.
Az IcedID támadások elleni védekezés leghatékonyabb módjai:
- Telepítsen olyan végpontvédelmi termékeket, amelyek azonnal beolvassák a titkosított dokumentumokat azok encryptelése után!
- Alkalmazzon Zero Trust megoldásokat ahol csak lehetséges, különös tekintettel a kritikus rendszerekre!
- Végezzen rendszeres sérülékenységvizsgálatot és penetrációs tesztelést az összes hálózati infrastruktúrán, és a felfedezett sérülékenységeket a lehető leghamarabb orvosolja!
- Alkalmazzon multi faktor hitelesítést minden kritikus szolgáltatásra, különösen az online banki és kriptovaluta számlákra!
- Ismerje fel a titkosított fájlok által jelentett fokozott kockázatot, és alaposan ellenőrizze ezeknek a dokumentumoknak a kontextusát, mielőtt megnyitja őket!
- Győződjön meg arról, hogy az Office alkalmazások úgy vannak beállítva, hogy értesítés nélkül tiltsák az összes makrót, vagy csak a digitálisan aláírt makrókat engedélyezzék!
- Biztosítsa, hogy csak engedélyezett, digitálisan aláírt szoftverek legyenek telepítve az összes végponton, és rendszeresen ellenőrizze és blokkolja bármilyen engedély nélküli szoftver futtatását.
- Használjon tartalmi proxy-t az internetes használat monitorozására és a felhasználók hozzáférésének korlátozására gyanús vagy kockázatos webhelyekhez.
Források:
(Mitre ATT&CK)
(blackberry.com)
