Ένα μεγάλο κύμα επιθέσεων παρουσιάστηκε στην Αμερική από τον νέο IcedID trojan. O IcedID εντοπίστηκε τον Σεπτέμβριο από την ομάδα ερευνητών IBM X-Force Research. Οι ίδιοι ανέφεραν ότι ο ιός έχει πάρα πολλές τεχνικές και διαδικασίες για την εξάπλωση του ακόμα και την ικανότητα να παρακολουθεί την δραστηριότητα του χρήστη χρησιμοποιώντας local proxy για tunneling.
Για να μπορέσει να επιβιώσει δημιουργεί ένα Runkey στο registry των Windows όπου ακόμα και σε reboot του συστήματος μπορεί να αποφύγει τα scan από sandboxes. Οι hackers χρησιμοποιούν τoν Loader του Emotet Trojan, ο οποίος πρόσφατα αναβαθμίστηκε και έγινε ακόμα πιο επικίνδυνος, για να μπορέσουν να εξαπλώσουν τον ιό σαν spam. Έχει επίσης την ικανότητα δρα παρόμοια και σε endpoint συσκευές (Printers, Terminal Servers) μέσω του πρωτοκόλλου LDAP.
Ο τρόπος λειτουργείας του IcedID trojan είναι ο εξής:
Ο χρήστης, αφού έχει πλέον τον ιό στον υπολογιστή του, γράφοντας το URL της τράπεζας μέσω της οποίας θέλει να κάνει την συναλλαγή ενεργοποιεί τον ιό. Αυτός καθορίζει ποια επίθεση webinjection θα χρησιμοποιήσει και στην συνέχεια κάνει redirect τον χρήστη σε έναν ιστότοπο της τράπεζας ο οποίος όμως είναι fake.
Αφού ο χρήστης βάλει τα απαραίτητα διαπιστευτήρια (Username και Password) τότε πλέον ο έλεγχος έχει περάσει στα χέρια του hacker. To redirection αυτό γίνεται με τέτοιο τρόπο που φαίνεται αθώο καθώς στην address bar εμφανίζεται ακριβώς το site της τράπεζας ακόμα και το SSL certificate που πιστοποιεί ότι υπάρχει ασφάλεια και κρυπτογράφηση στα δεδομένα που πληκτρολογεί ο χρήστης.
Οι ειδικοί της IBM πιστεύουν ότι παρόλο που ο IcedID είναι νεοσύστατος Trojan ίσως να είναι από τους πιο επικίνδυνους σε σχέση με τους ήδη υπάρχοντες (GozNym, Trickbot, Dridex).
