Trước đó, hồi tháng 9/2017, các nhà nghiên cứu thuộc Trung tâm nghiên cứu X-force của IBM đã phát hiện ra Trojan IcedID. Đây là một loại Trojan sử dụng các kỹ thuật và phương thức nổi bật, như khả năng lây lan qua mạng và khả năng giám sát hoạt động của một trình duyệt bằng cách thiết lập một proxy cục bộ cho đường hầm lưu lượng.
Theo các nhà nghiên cứu, hiện nay mã độc đang nhắm mục tiêu đến các ngân hàng, các nhà cung cấp thẻ thanh toán, các nhà cung cấp dịch vụ di động, các trang web trả lương, webmail và thương mại điện tử ở Mỹ. Hai ngân hàng ở Anh cũng đã trở thành mục tiêu của mã độc này.
Tương tự như Trojan TrickBot và Dridex, IcedID thực hiện tấn công và đánh cắp dữ liệu tài chính của người dùng thông qua hỗ trợ tấn công web injection và tấn công chuyển hướng (redirection attack).
Họ cũng cho biết thêm rằng IcedID đang được phân phối bởi Trojan ngân hàng Emotet, Trojan, trong đó Emotet được sử dụng như một ống nhỏ giọt để đưa IcedID vào các hệ thống mục tiêu. Emotet được biết đến với các chiến dịch thư rác, được thiết kế trông giống như các bản tin từ các ngân hàng mà chứa các tệp lưu trữ .zip độc hại.
Theo báo cáo của X-Force, IcedID có khả năng di chuyển đến các thiết bị đầu cuối khác, và các nhà nghiên cứu X-Force cũng quan sát nó lây nhiễm vào các máy chủ đầu cuối. Các máy chủ đầu cuối thường quản lý các điểm đầu cuối như thiết bị đầu cuối, máy in và các thiết bị mạng được chia sẻ, với một điểm kết nối chung tới mạng nội bộ hoặc một mạng diện rộng, điều đo cho thấy IcedID đã nhắm mục tiêu vào email của nhân viên để chiếm lấy thiết bị đầu cuối của người dùng và tổ chức.
Để duy trì sự tồn tại lâu dài trên máy chủ, IcedID tạo ra một RunKey trong registry (hệ cơ sở dữ liệu) Windows của máy chủ nhằm cho phép nó tồn tại khi khởi động lại. Theo Trung tâm nghiên cứu X-Force, IcedID yêu cầu khởi động lại để hoàn tất việc triển khai. Việc khởi động lại giúp Trojan IcedID tránh khỏi các phân tích mã độc sử dụng kỹ thuật sandbox.
Một khi các thành phần của mã độc xâm nhập được vài, nạn nhân có lưu lượng truy cập Internet được chuyển hướng qua một proxy cục bộ mà tin tặc kiểm soát. Sau đó, mã độc “lắng nghe” URL mục tiêu từ danh sách (của các tổ chức tài chính) và ngay khi gặp một kích hoạt nó sẽ thực thi tấn công web injection. Theo đó, nạn nhân sẽ bị chuyển đến một trang web ngân hàng giả mạo được thiết lập trước phù hợp với yêu cầu ban đầu. Trang web ngân hàng giả mạo này sẽ thúc giục và yêu cầu người dùng nhập tên người dùng và mật khẩu. Để ngăn chặn sự phát hiện của người dùng cuối, mã độc chuyển hướng lưu lượng truy cập đồng thời giữ nguyên địa chỉ URL của ngân hàng trong thanh địa chỉ.
Các nhà nghiên cứu cho biết: “Từ thời điểm đó, kẻ tấn công sẽ kiểm soát phiên trình duyệt mà nạn nhân phải truy cập, bao gồm các kỹ thuật lừa đảo để lừa nạn nhân tiết lộ các yếu tố ủy quyền giao dịch.
Giao tiếp giữa máy chủ và máy chủ điều khiển và ra lệnh của kẻ tấn công là thông qua SSL.