IcedID 是一種銀行木馬，于 2017 年 9 月首次在野外發現。2022 年 10 月，它是第四大最常見的惡意軟件變體，部分原因是Emotet的回歸，它經常傳播惡意軟件。作為銀行木馬，IcedID 專門收集金融機構用戶賬戶的登錄憑據。IcedID 還能夠刪除惡意軟件。

雖然 IcedID 通常由僵尸網絡惡意軟件 Emotet 分發，但它并不是 IcedID 的唯一傳遞媒介。銀行木馬還通過惡意垃圾郵件活動進行自我傳播，并在在受感染的系統上站穩腳跟后可以通過網絡感染其他主機。IcedID 惡意軟件還因使用各種技術來隱藏其在系統上的存在而聞名。例如，惡意軟件使用進程注入將自身隱藏在系統中，并使用隱寫術隱藏敏感數據。

威脅

由于 IcedID 惡意軟件是一種銀行木馬，其主要目的是竊取用戶在金融機構賬戶的登錄憑據。一旦獲得這些憑據，惡意軟件就可以使用它們登錄用戶帳戶并從用戶那里竊取資金。最近，IcedID 還被用來刪除其他惡意軟件。

IcedID 使用網絡注入來誘騙用戶交出他們的憑據：Web 注入是 IcedID 用于收集網上銀行門戶登錄信息的方法。使用這種方法，攻擊者在網站內容呈現在瀏覽器上之前將 HTML 或 JavaScript 代碼注入網站內容。它允許惡意軟件收集和泄露用戶憑據供以后使用。

如何防范 IcedID 惡意軟件

IcedID 是一種復雜的銀行木馬，它使用規避技術使得很難識別和修復受感染的系統。但是，組織和個人可以采取各種措施來保護自己免受 IcedID 感染。

一般處理惡意軟件和銀行木馬，尤其是 IcedID 的一些最佳實踐包括：

• 員工培訓： IcedID 使用社會工程技術進行自我傳播并誘騙用戶交出敏感信息，例如他們的登錄憑據。培訓員工識別并正確應對社會工程對于最大限度地減少 IcedID 的威脅至關重要。
• 部署端點安全：端點安全解決方案能夠識別和阻止 IcedID 和其他惡意軟件的感染企圖。端點安全解決方案應部署在所有設備上，保持最新狀態，并能夠訪問高質量的網絡威脅情報。
• 使用強 MFA：作為銀行木馬，IcedID 的主要目標是收集用戶帳戶的登錄憑據。強制使用強多因素身份驗證 (MFA) 可以降低成功進行帳戶接管攻擊的風險。
• 實施電子郵件安全： IcedID 通常通過惡意電子郵件傳播。檢查電子郵件內容和附件是否有惡意內容的電子郵件安全解決方案有助于檢測 IcedID 惡意軟件感染。
• 監控網絡： IcedID 在受感染計算機的端口 49157 上運行代理，并嘗試從受感染主機通過網絡傳播自身。監控異常開放端口和網絡流量的網絡流量有助于識別 IcedID 感染。
• 實施最低權限： IcedID 竊取登錄憑據并使用它們在網絡中傳播。強制執行最小權限原則，將用戶和設備限制為其角色所需的最小權限，從而限制受感染的設備或用戶帳戶可能造成的損害。