IcedID / BokBot
Qu'est-ce que IcedID / BokBot ?
IcedID / BokBotCheval de Troie bancaire modulaire et loader apparu en 2017, devenu un precurseur frequent des deploiements de ransomware par des groupes comme Conti et Quantum.
IcedID, alias BokBot, est apparu en 2017 en visant les clients bancaires et e-commerce en Amerique du Nord et en Europe. Distribue surtout via des pieces jointes ISO, IMG et OneNote malveillantes, des archives proteges par mot de passe et des annonces SEO empoisonnees, il fournit un acces backdoor, des web injects dans les navigateurs, des modules VNC et SOCKS. Au fil du temps, il a evolue vers un loader pour des intrusions hands-on, deployant Cobalt Strike, Atera RMM et des ransomwares comme Quantum, Conti et Dagon Locker. Microsoft et Proofpoint le suivent comme un toolkit en evolution utilise par plusieurs clusters affilies. Les defenses s'appuient sur AppLocker, MOTW, le montage restreint d'ISO et les politiques de types de fichiers en messagerie.
● Exemples
- 01
Une infection IcedID via une fausse facture ISO degenere en chiffrement Quantum en 48 heures.
- 02
Un SOC bloque les pieces jointes ISO et IMG et reduit fortement les intrusions hands-on IcedID en 2023.
● Questions fréquentes
Qu'est-ce que IcedID / BokBot ?
Cheval de Troie bancaire modulaire et loader apparu en 2017, devenu un precurseur frequent des deploiements de ransomware par des groupes comme Conti et Quantum. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.
Que signifie IcedID / BokBot ?
Cheval de Troie bancaire modulaire et loader apparu en 2017, devenu un precurseur frequent des deploiements de ransomware par des groupes comme Conti et Quantum.
Comment fonctionne IcedID / BokBot ?
IcedID, alias BokBot, est apparu en 2017 en visant les clients bancaires et e-commerce en Amerique du Nord et en Europe. Distribue surtout via des pieces jointes ISO, IMG et OneNote malveillantes, des archives proteges par mot de passe et des annonces SEO empoisonnees, il fournit un acces backdoor, des web injects dans les navigateurs, des modules VNC et SOCKS. Au fil du temps, il a evolue vers un loader pour des intrusions hands-on, deployant Cobalt Strike, Atera RMM et des ransomwares comme Quantum, Conti et Dagon Locker. Microsoft et Proofpoint le suivent comme un toolkit en evolution utilise par plusieurs clusters affilies. Les defenses s'appuient sur AppLocker, MOTW, le montage restreint d'ISO et les politiques de types de fichiers en messagerie.
Comment se défendre contre IcedID / BokBot ?
Les défenses contre IcedID / BokBot combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de IcedID / BokBot ?
Noms alternatifs courants : BokBot.
● Termes liés
- malware№ 084
Cheval de Troie bancaire
Logiciel malveillant conçu pour voler des identifiants bancaires en ligne et autoriser des transactions frauduleuses, généralement via web injects, capture de formulaires ou superpositions.
- malware№ 621
Loader
Malware qui prépare l'environnement et charge des charges utiles ultérieures — souvent directement en mémoire — pour la phase suivante d'une attaque.
- malware№ 900
Rançongiciel
Logiciel malveillant qui chiffre les données de la victime ou verrouille ses systèmes et exige une rançon pour rétablir l'accès.
- defense-ops№ 193
Cobalt Strike
Plateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.