I ricercatori di Proofpoint hanno osservato per la prima volta nuove diverse varianti del malware IcedID, un malware molto popolare, tradizionalmente diffuso da criminali informatici più esperti, il cui utilizzo e funzionalità sono cambiati nel tempo.
Originariamente classificato come malware bancario, IcedID è stato osservato per la prima volta nel 2017. Funge anche da loader per altri malware, compresi i ransomware. Come già affermato, esiste storicamente una sola versione di IcedID rimasta costante dal 2017, un loader iniziale che contatta un server Loader C2, e scarica il Loader DLL standard che poi distribuisce il bot IcedID standard.
Le nuove versioni del malware IcedID
In aggiunta alla versione standard, i nuovi esemplari individuati sono stati classificati come segue:
- IcedID Lite: nuova variante, osservata come payload successivo nelle infezioni Emotet di novembre 2022 che non esfiltrano i dati dell’host nel checkin del loader e bot con funzionalità ridotte.
- IcedID Forked: nuova variante rilevata dai ricercatori di Proofpoint a febbraio 2023, utilizzata da un ristretto numero di attori di minacce, che fornisce anche un bot con funzionalità ridotte.
La variante standard non sparisce
Tra il 2022 e il 2023, Proofpoint ha identificato centinaia di campagne malware IcedID, che vedono coinvolti almeno tre attori distinti. In numerosi casi è stata comunque usata la variante IcedID standard, con la maggior parte di questi attori che sembra operare come broker di accesso iniziale per facilitare successivi attacchi ransomware.
Proofpoint prevede che molti attori delle minacce continueranno a utilizzare la variante standard di IcedID, ma è probabile che le varianti Lite e Forked di IcedID continuino a essere utilizzate negli attacchi malware.