IcedID 恶意软件活动针对 Zoom 用户

Cyble研究人员最近发现了针对流行视频会议和在线会议平台Zoom用户的网络钓鱼活动，以提供IcedID恶意软件。

IcedID银行木马于2017年首次出现在威胁领域，其功能类似于Gozi，Zeus和Dridex等其他金融威胁。首先分析它的IBM X-Force专家注意到，该威胁不会从其他银行恶意软件中借用代码，但恶意代码实现了类似的功能，包括发起浏览器人攻击，以及拦截和窃取受害者的财务信息。

IcedID恶意软件通常使用武器化的Office文档传播恶意广告活动。然而，在 Cyble 发现的活动中，威胁行为者使用网络钓鱼网站，模仿合法的 Zoom 网站，来传递 IcedID 恶意软件。“该活动背后的助教使用了一个非常令人信服的网络钓鱼页面，看起来像一个合法的 Zoom 网站来诱骗用户下载 IcedID 恶意软件，该恶意软件进行恶意活动。”

网站上的登录页面包含一个下载按钮。点击按钮后，该网站从网址发送了一个 Zoom 安装程序文件：hxxps[：]//explorezoom[.]com/products/app/ZoomInstallerFull[.]执行。专家进行的分析显示，该文件是IcedID恶意软件的一个版本。

在执行“ZoomInstallerFull.exe”可执行文件时，恶意软件会将二进制文件 ikm.msi、maker.dll 二进制文件丢弃在 %temp% 文件夹中。“maker.dll”是一个恶意库，用于执行各种恶意活动和加载 IcedID 恶意软件，而“ikm.msi”是 Zoom 应用程序的合法安装程序。

安装后，IcedID 恶意软件会尝试连接 C2。如果恶意软件可以成功连接到 C2 服务器，则可以在 %programdata% 目录中删除其他恶意负载。“IcedID是一种高度先进，持久的恶意软件，影响了全球用户，”报告总结道。“威胁行为者在此特定活动中利用网络钓鱼站点来提供 IcedID 有效负载。威胁行为者不断调整他们的技术，以逃避网络安全措施的检测。