Distributor malware memutar muatan sekali lagi, beralih di antara trojan yang sering kali merupakan tahap perantara dalam rantai infeksi yang lebih panjang.
Awal tahun ini, para peneliti mengamati kampanye email berbahaya yang menyebarkan dokumen Office yang mengirimkan trojan QBot, hanya untuk mengubah muatan setelah beberapa saat.
Pada bulan Februari, IcedID adalah malware baru yang berasal dari URL yang digunakan untuk melayani QBot. Brad Duncan dari Palo Alto Networks menangkap perubahan dan catatan dalam analisisnya pada saat itu:
“URL HTTPS yang dibuat oleh makro Excel diakhiri dengan /ds/2202.gif yang biasanya mengirimkan Qakbot, tetapi hari ini mengirimkan IcedID” – Brad Duncan
Peneliti ancaman James Quinn dari Binary Defense membuat pengamatan yang sama dalam posting blog pada bulan Maret, ketika perusahaan menemukan varian IcedID/BokBot baru saat melacak kampanye spam berbahaya dari distributor QakBot.
Peneliti malware dan reverse engineer reecDeep melihat pergantian tersebut pada hari Senin, mengatakan bahwa kampanye tersebut bergantung pada makro XLM yang diperbarui.
Seperti yang terlihat pada tangkapan layar di atas, file Office yang berbahaya berperan sebagai dokumen DocuSign untuk mengelabui pengguna agar mengaktifkan dukungan makro yang mengambil muatan pada sistem.
Menurut Intel 471, beberapa kelompok penjahat dunia maya mulai menggunakan layanan EtterSilent, termasuk IcedID, QakBot, Ursnif, dan Trickbot.
Selengkapnya: Bleeping Computer
