卡巴斯基研究人員稱，一款 IcedID 網(wǎng)銀木馬的新變種正在迅速傳播，檢測(cè)峰值甚至達(dá)到了每日 100 個(gè)。截止 2021 年 3 月，其在德國(guó)（8.58%）、意大利（10.73%）、印度（11.59%）和美國(guó)（10.73%）等地區(qū)的傳播力最為顯著。與舊版木馬相比，新變種利用了修改過(guò)的英文下載器，其中包含了經(jīng)過(guò)壓縮的 ZIP 格式惡意軟件。

　　至于 IcedID 的感染過(guò)程，主要分成下載器和本體兩個(gè)部分。前者將用戶信息發(fā)送到服務(wù)器端，以供惡意軟件本體使用。在將自身映射到內(nèi)存后，后者會(huì)將惡意軟件進(jìn)一步滲透到受害者的系統(tǒng)中。

　　此外該木馬還可啟動(dòng)其它惡意操作，比如允許威脅行為者繞過(guò)雙因素身份驗(yàn)證（2FA）或運(yùn)行惡意動(dòng)態(tài)鏈接庫(kù)（DLL）的 Web 注入。這兩種方法，都允許下載和執(zhí)行滲透到系統(tǒng)身處的其它惡意模塊。

IcedID 攻擊的地理位置分布

　　包括下載電子郵件收集器、Web 注入模塊、密碼抓取器、以及 hVNC 遠(yuǎn)程控制模塊等組件，以執(zhí)行 Web 注入、流量攔截、系統(tǒng)接管、以及密碼竊取。

　　至于 QBot 和 IcedID 的區(qū)別，主要是新變種變得能夠利用 x86-64 CPU 架構(gòu)、從服務(wù)器端移除了假配置、且核心也略有改動(dòng)，因?yàn)樽髡邲Q定不將 shellcode 交換為包含一些加載程序數(shù)據(jù)的常規(guī) PE 文件。

QBot 攻擊的地理位置分布