IcedID / BokBot
Что такое IcedID / BokBot?
IcedID / BokBotМодульный банковский троян и загрузчик, впервые замеченный в 2017 году, ставший частым предшественником развёртываний вымогателей Conti и Quantum.
IcedID (он же BokBot) появился в 2017 году и атаковал клиентов банков и e-commerce в Северной Америке и Европе. Распространялся в основном через вредоносные ISO-, IMG- и OneNote-вложения, защищённые паролем архивы и SEO-отравленную рекламу, предоставляет бэкдор-доступ, веб-инъекции в браузер, модули VNC и SOCKS-прокси. Со временем он стал загрузчиком для ручных атак, доставляющим Cobalt Strike, Atera RMM и вымогатели Quantum, Conti, Dagon Locker. Microsoft и Proofpoint отслеживают его как развивающийся набор, используемый несколькими аффилированными кластерами. Защитники применяют AppLocker, MOTW, ограничение монтирования ISO и почтовые политики типов файлов.
● Примеры
- 01
Заражение IcedID через поддельный счёт-ISO за 48 часов перерастает в шифрование Quantum.
- 02
SOC блокирует вложения ISO и IMG в почте и резко снижает число ручных вторжений IcedID в 2023 году.
● Частые вопросы
Что такое IcedID / BokBot?
Модульный банковский троян и загрузчик, впервые замеченный в 2017 году, ставший частым предшественником развёртываний вымогателей Conti и Quantum. Относится к категории Вредоносное ПО в кибербезопасности.
Что означает IcedID / BokBot?
Модульный банковский троян и загрузчик, впервые замеченный в 2017 году, ставший частым предшественником развёртываний вымогателей Conti и Quantum.
Как работает IcedID / BokBot?
IcedID (он же BokBot) появился в 2017 году и атаковал клиентов банков и e-commerce в Северной Америке и Европе. Распространялся в основном через вредоносные ISO-, IMG- и OneNote-вложения, защищённые паролем архивы и SEO-отравленную рекламу, предоставляет бэкдор-доступ, веб-инъекции в браузер, модули VNC и SOCKS-прокси. Со временем он стал загрузчиком для ручных атак, доставляющим Cobalt Strike, Atera RMM и вымогатели Quantum, Conti, Dagon Locker. Microsoft и Proofpoint отслеживают его как развивающийся набор, используемый несколькими аффилированными кластерами. Защитники применяют AppLocker, MOTW, ограничение монтирования ISO и почтовые политики типов файлов.
Как защититься от IcedID / BokBot?
Защита от IcedID / BokBot обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия IcedID / BokBot?
Распространённые альтернативные названия: BokBot.
● Связанные термины
- malware№ 084
Банковский троян
Вредоносное ПО, разработанное для кражи учётных данных онлайн-банкинга и подтверждения мошеннических операций — обычно через веб-инжекты, перехват форм или оверлеи.
- malware№ 621
Загрузчик (loader)
Малварь, готовящая среду и подгружающая дальнейшие нагрузки (часто прямо в память) для следующей стадии атаки.
- malware№ 900
Программа-вымогатель
Вредоносное ПО, которое шифрует данные жертвы или блокирует системы и требует выкуп за восстановление доступа.
- defense-ops№ 193
Cobalt Strike
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.