卡巴斯基：IcedID 网银木马新变种正在疯狂传播

卡巴斯基研究人员称，一款 IcedID 网银木马的新变种正在迅速传播，检测峰值甚至达到了每日 100 个。截止 2021 年 3 月，其在德国（8.58%）、意大利（10.73%）、印度（11.59%）和美国（10.73%）等地区的传播力最为显著。与旧版木马相比，新变种利用了修改过的英文下载器，其中包含了经过压缩的 ZIP 格式恶意软件。

http://hackernews.cc/wp-content/uploads/2021/06/a22652ade3af95e.png

至于 IcedID 的感染过程，主要分成下载器和本体两个部分。前者将用户信息发送到服务器端，以供恶意软件本体使用。在将自身映射到内存后，后者会将恶意软件进一步渗透到受害者的系统中。

此外该木马还可启动其它恶意操作，比如允许威胁行为者绕过双因素身份验证（2FA）或运行恶意动态链接库（DLL）的 Web 注入。这两种方法，都允许下载和执行渗透到系统身处的其它恶意模块。http://hackernews.cc/wp-content/uploads/2021/06/a61d1d5719709f6-600x514.png

IcedID 攻击的地理位置分布

包括下载电子邮件收集器、Web 注入模块、密码抓取器、以及 hVNC 远程控制模块等组件，以执行 Web 注入、流量拦截、系统接管、以及密码窃取。

至于 QBot 和 IcedID 的区别，主要是新变种变得能够利用 x86-64 CPU 架构、从服务器端移除了假配置、且核心也略有改动，因为作者决定不将 shellcode 交换为包含一些加载程序数据的常规 PE 文件。

http://hackernews.cc/wp-content/uploads/2021/06/a61d1d5719709f6-600x514.png

QBot 攻击的地理位置分布

最后，网络攻击涉及的一些 IP / 域名，涵盖了Karantino[.]xyz、uqtgo16datx03ejjz[.]xyz、188.127.254[.]114、以及 Apoxiolazio55[.]space 。

（消息及封面来源：cnBeta）