IcedID / BokBot
Was ist IcedID / BokBot?
IcedID / BokBotModularer Banking-Trojaner und Loader, erstmals 2017 gesichtet, der zum haeufigen Vorlaeufer von Ransomware-Operationen wie Conti und Quantum wurde.
IcedID, auch BokBot, tauchte 2017 erstmals auf und richtete sich gegen Banking- und E-Commerce-Kunden in Nordamerika und Europa. Verteilt vor allem ueber boesartige ISO-, IMG- und OneNote-Anhaenge, passwortgeschuetzte Archive und SEO-vergiftete Anzeigen, bietet er Backdoor-Zugriff, Webinjects im Browser, VNC- und SOCKS-Proxy-Module. Mit der Zeit verschob sich der Einsatz zu einem Loader fuer Hands-on-Intrusionen, der Cobalt Strike, Atera RMM und Ransomware wie Quantum, Conti und Dagon Locker nachlud. Microsoft und Proofpoint verfolgen ihn als sich entwickelndes Toolkit fuer mehrere Affiliate-Cluster. Verteidiger setzen auf AppLocker, MOTW, eingeschraenktes ISO-Mounten und Mail-Dateitypen-Policies.
● Beispiele
- 01
Eine IcedID-Infektion aus einer falschen Rechnungs-ISO eskaliert binnen 48 Stunden zu einer Quantum-Verschluesselung.
- 02
Ein SOC blockiert ISO- und IMG-Anhaenge per Mail und reduziert IcedID-Hands-on-Intrusionen 2023 deutlich.
● Häufige Fragen
Was ist IcedID / BokBot?
Modularer Banking-Trojaner und Loader, erstmals 2017 gesichtet, der zum haeufigen Vorlaeufer von Ransomware-Operationen wie Conti und Quantum wurde. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet IcedID / BokBot?
Modularer Banking-Trojaner und Loader, erstmals 2017 gesichtet, der zum haeufigen Vorlaeufer von Ransomware-Operationen wie Conti und Quantum wurde.
Wie funktioniert IcedID / BokBot?
IcedID, auch BokBot, tauchte 2017 erstmals auf und richtete sich gegen Banking- und E-Commerce-Kunden in Nordamerika und Europa. Verteilt vor allem ueber boesartige ISO-, IMG- und OneNote-Anhaenge, passwortgeschuetzte Archive und SEO-vergiftete Anzeigen, bietet er Backdoor-Zugriff, Webinjects im Browser, VNC- und SOCKS-Proxy-Module. Mit der Zeit verschob sich der Einsatz zu einem Loader fuer Hands-on-Intrusionen, der Cobalt Strike, Atera RMM und Ransomware wie Quantum, Conti und Dagon Locker nachlud. Microsoft und Proofpoint verfolgen ihn als sich entwickelndes Toolkit fuer mehrere Affiliate-Cluster. Verteidiger setzen auf AppLocker, MOTW, eingeschraenktes ISO-Mounten und Mail-Dateitypen-Policies.
Wie schützt man sich gegen IcedID / BokBot?
Schutzmaßnahmen gegen IcedID / BokBot kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für IcedID / BokBot?
Übliche alternative Bezeichnungen: BokBot.
● Verwandte Begriffe
- malware№ 084
Banking-Trojaner
Schadsoftware, die Online-Banking-Zugangsdaten stiehlt und betrügerische Transaktionen autorisiert, meist über Web-Injects, Form-Grabbing oder Overlays.
- malware№ 621
Loader
Schadsoftware, die die Umgebung vorbereitet und weitere Nutzlasten — oft direkt im Speicher — für die nächste Phase eines Angriffs lädt.
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.
- defense-ops№ 193
Cobalt Strike
Eine kommerzielle Adversary-Simulation-Plattform, die in Red-Team-Operationen weit verbreitet ist und von Angreifern haeufig fuer Post-Exploitation und Command-and-Control missbraucht wird.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.