新型银行木马IcedID现身，具备双重攻击能力

IBM X-Force研究团队是世界上最知名的商业安全研究团队之一。这些安全专家可监视并分析各种来源的安全问题，提供威胁情报内容并将其作为IBM Security产品服务组合的基础。

IBM® X-Force® 可生成多项思想领先的安全研究资产，帮助客户、研究人员和公众更深入地了解最新的安全风险，提前预知新兴威胁。

最近，IBM X-Force发现了一个新型的银行木马，他们将其命名为“IcedID”，目前似乎正处于开发的初始阶段。

尽管IcedID目前还不够完善，但它已经展现出了一些先进的功能，并且是很多旧版本的银行木马所无法与之相比的。

同时具备重定向攻击和Web注入攻击能力

IcedID可以通过重定向攻击（安装本地代理将用户重定向到恶意网站）和网页注入攻击（注入浏览器进程显示重叠在原页面上的虚假内容）来执行窃取受害者的财务数据。

而在过去，只有Dridex（最先进的银行木马之一）被认为能够同时使用这两种攻击方式。当然，这主要是因为网络犯罪分子通常只会选择其中之一，并专注于完善他们的技术。

此外，根据IBM X-Force的调查，IcedID背后的犯罪组织正在通过Emotet（银行木马之一）使用的僵尸网络基础设施在已经被感染的计算机上传播IcedID。

据本周恶意软件行业的一位消息人士透露，在过去的一年里，Emotet已经将重点从窃取受害者财务信息转向了恶意软件交付平台。

看起来，IcedID似乎是Emotet的最新客户之一。而IcedID正在使用Emotet的地理定位功能，仅在特定国家/地区向受害者传送木马。

IcedID将目标定位于北美国家

根据IcedID样本的配置文件的类型，犯罪组织似乎将其目标定位在了美国、加拿大和英国。

在对配置文件深入分析后，就会发现IcedID可以针对银行、支付卡提供商、移动服务提供商、工资门户、网络邮件客户端和电子商务网站发起攻击。

更具体地说，IcedID的重定向攻击目标是支付卡和网络邮件网站，而Web注入攻击则针对了网上银行门户网站。

虽然，IcedID针对的大多数银行门户网站都位于美国和加拿大，但也包括英国的两家银行。

IcedID具有粗糙的反虚拟机功能

在这种情况下，IcedID的重定向功能通过在端口49157上运行的本地代理汇集网络流量来工作。

IcedID目前唯一的弱点就是缺乏先进的反虚拟机和反沙箱检测功能。IcedID现阶段配置的这些功能都还很粗糙。

目前，尚不清楚IBM X-Force发现的IcedID样本是最终的成品还是处于开发的最初实验阶段。无论怎样，我们或许将在未来几个月中看到它的活跃“表现”。