Rengeteg adatot lophat az IcedID trójai

Az IcedID nevű kártékony program még csak a szárnyait próbálgatja, de már most is igencsak veszélyes a személyes és a banki adatokra nézve.
 

Nagyon úgy fest, hogy a közeljövő egyik legtöbb kockázatot rejtő banki trójaija kezdett terjedni az interneten. Az IcedID ugyan még fejlesztés alatt áll, de az alapvető feladatait már most is képes ellátni, ezért érdemes felkészülni a jövetelére.
 
Az új ártalmas program célja, hogy minél több felhasználói adatot zsebeljen be. A banki trójaiaktól eltérően nem kizárólag olyan hitelesítő adatokat lop, amikkel pénzintézeti oldalakra lehet bejelentkezni, hanem egyéb, személyes adatokat sem vet meg. A képességei révén alkalmas lehet például online fizetéssel foglalkozó weblapokhoz, telekommunikációs cégek webhelyeihez, illetve webáruházakhoz kötődő információk megkaparintására is.
 
Az IcedID alapvetően két módszer révén próbálja elérni a célját. Egyrészt bizonyos weboldalak esetében alkalmas kódinjektálásra. Főleg a banki weblapok esetén különféle űrlapokat szűr be az oldalakba, és ha itt adja meg a felhasználó az adatait, akkor azok rögtön az adattolvajok kezébe kerülnek. Másrészt pedig a PC-ken egy proxy szolgáltatást létesít, amin keresztül kártékony, sokszor meghamisított oldalakra irányítja át a webböngészőt. (A proxy esetében a 49157-es portot használja.)
 
Az IBM X-Force eddigi vizsgálata azt mutatja, hogy a trójai leginkább az amerikai, a kanadai és a brit felhasználók adataira éhes. Ugyanakkor nincs különösebb technikai korlátja annak, hogy egyéb vizekre is elevezzen, ezért a globális terjedését sem lehet kizárni. Már csak azért sem, mert a kártékony program terjesztői elkezdték használni az Emotet trójaihoz tartozó, igencsak kiterjedt botnetet az új szerzeményük terjesztéséhez.
 
Még fejlődik
 
Az IcedID fejlesztése még viszonylag kezdeti stádiumban van, vagyis még sok szempontból változhat a jövőben. Ami a hasonló károkozókhoz képest lemaradást jelent az esetében, hogy (még) nem rendelkezik olyan összetevőkkel, amivel képes lenne felismerni, hogy virtualizált, emulált vagy sandboxban futó rendszerre került-e fel. Ez abból a szempontból jó hír, hogy így a víruselemzők könnyebben tudják vizsgálni, és az automatizált védelmi rendszereken is nagyobb valószínűséggel akad fent.
 
A védekezés szempontjából ezúttal is a naprakész vírusvédelemre, valamint a megfontolt, körültekintő netezésre kell helyezni a hangsúlyt.