🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء البرامج الضارة

نصائح إنتل حول تهديد البرامج الضارة لأحصنة طروادة المصرفية من IceDid

استشارات CloudSek بشأن معلومات التهديدات حول برنامج IceDid Banking Trojan الضار الذي يسرق المعلومات المالية. كما أنها تعمل كقطارة للبرامج الضارة الأخرى.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
May 10, 2021
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
النوع الاستشاري
ذكاء البرامج الضارة
اسم البرامج الضارة
آيس ديد
الأسماء المستعارة للبرامج الضارة
بوك بوت
نوع البرامج الضارة
حصان طروادة المصرفي
نظام التشغيل المستهدف
شبابيك

ملخص تنفيذي

تم ملاحظة IceDid لأول مرة في عام 2017، وهو عبارة عن حصان طروادة مصرفي يسرق المعلومات المالية. تم أيضًا الاستفادة من IceDid كقطارة للبرامج الضارة الأخرى وفي مرحلة الإصابة بعمليات الفدية. تتبع هذه البرامج الضارة طرق تسليم متعددة، منها رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ماكرو هي الأكثر انتشارًا. في حملة حديثة شملت IceDid، أساء المهاجمون استخدام نماذج الاتصال بمواقع الويب لمؤسسات متعددة، واستخدموا رسائل البريد الإلكتروني المليئة بالروابط الضارة، والتي عند النقر عليها أدت إلى تنزيل ملف .zip ضار. عادةً ما تميل رسائل البريد الإلكتروني هذه إلى خلق شعور بالإلحاح، مما يؤدي إلى اتخاذ إجراءات فورية. على سبيل المثال، يتظاهر المرسل بأنه مصور يهدد باتخاذ إجراء قانوني ضد الشركة لاستخدام صوره على موقعه، دون إذن. يقوم المرسل بعد ذلك بمشاركة رابط ضار يزعم أنه دليل يثبت الحادث. ولكن عند النقر على الرابط، يتم نقل المستلم إلى صفحة Google التي تقوم بتنزيل ملف .zip الضار.

التحليل الفني

تحتوي رسائل البريد الإلكتروني المخادعة التي تستخدمها حملات IceDid على رابط ضار، عند النقر عليه يقوم بتحميل صفحة Google. تطلب هذه الصفحة بعد ذلك من الضحية المطمئنة تسجيل الدخول باستخدام بيانات اعتماد google الخاصة بها. عند تسجيل الدخول، يتم تنزيل ملف مضغوط ضار تلقائيًا على جهاز الضحية. في حالة فشل الرابط الأول على الإطلاق، تتم إعادة توجيهه إلى نطاق.top الذي يؤدي بعد ذلك إلى صفحة محتوى مستخدم Google التي تقوم بتنزيل ملف zip الضار. مراحل التنفيذ:
  • يحتوي الملف المضغوط على جافا سكريبت ضارة يتم تنفيذها عبر WScript
  • يتم إنشاء كائن Shell بعد تنفيذ ملف JS السابق
  • يقوم كائن Shell بتشغيل PowerShell لتنزيل حمولة IceDid بتنسيق.dat
  • تم تشفير حمولة IceDid جيدًا للهروب من الاكتشاف

التأثير

التأثير الفني
  • IceDid هو حصان طروادة مصرفي يسرق بيانات الاعتماد المصرفية للضحية والمعلومات المالية الأخرى في النظام المصاب ويرسل المعلومات التي تم جمعها إلى C2 للمهاجم.
  • يعمل IceDid أيضًا كمحمل لأنواع أخرى من الحمولات مثل برامج الفدية، مما يعزز أشكال الهجمات الأخرى.
تأثير الأعمال
  • يؤثر حصان طروادة المصرفي على خصوصية ضحاياه ويسيء استخدام معلوماتهم المالية.
  • سيكون لإصابة النظام ببرامج الفدية تأثير سلبي على الأعمال وسمعتها.

التخفيف

  • رفع مستوى الوعي حول رسائل البريد الإلكتروني الاحتيالية والروابط الضارة.
  • استخدم المصادقة متعددة العوامل لجميع الحسابات.
  • يُنصح المستخدمون بتصحيح أنظمتهم وتحديثها دائمًا.
  • استخدم أحدث برامج AV.

التكتيكات والتقنيات والإجراءات

التكتيكات
تقنيات
الاستطلاع
T1594 ابحث في مواقع الويب المملوكة للضحايا
الوصول الأولي
T1566.001 مرفق التصيد الاحتيالي بالرمح 1566.002 رابط التصيد الاحتيالي بالرمح 1078.002 حسابات النطاق
التنفيذ
T1059 مترجم الأوامر والبرمجة النصية T1059.001 PowerShell 1053.005 المهمة المجدولة T1204.001 الارتباط الضار 1047أدوات إدارة Windows
إصرار
T1053.005 المهمة المجدولة
تصعيد الامتيازات
عملية حقن T1055 T1053.005 المهمة المجدولة
التهرب الدفاعي
حقن عملية T1055 T1218.011 روندل32T1553.002 توقيع التعليمات البرمجية
الوصول إلى بيانات الاعتماد
T1555.003 بيانات الاعتماد من متصفحات الويب
اكتشاف
T1482 اكتشاف ثقة المجال T1018 اكتشاف النظام عن بُعد T1518.001 برنامج الأمان اكتشاف T1082 اكتشاف معلومات النظام T1016 اكتشاف تكوين شبكة النظام
حركة جانبية
T1021.001 بروتوكول سطح المكتب البعيد T1021.002 مشاركات مشرف SMB/Windows
مجموعة
T1185man في المتصفح
القيادة والتحكم
بروتوكول طبقة التطبيقات T1071
استخراج
T1048.002التصفية عبر بروتوكول غير C2 المشفر غير المتماثل
التأثير
T1486 تم تشفير البيانات للتأثير

مؤشرات التسوية

رابط
https://tajushariya.com/ds/3003.gifhttps://partsapp.com.br/ds/3003.gifhttps://metaflip.io/ds/3003.gifhttps://columbia.aula-web.net/ds/3003.gifhttps://agenbolatermurah.com/ds/3003.gif
اسم المضيف
كولومبيا.aula-web.net
الدومين
agenbolatermurah.com metaflip.iopartsapp.com.brtajushariya.com
ملف هاش — SHA1
191 إيدا 0 سي 539 د 284 ب 29 إيفا 556 ديسيبل 05 سي دي 75 أ 9077a0e2d681 cb701 399 f2 df1 df7 ac393440069 c0916816 fd4a3c19d91727 c835254 c083e7a4e946ad54d58c44e946ad54d58c4d4d4d4e947 667a0ff1 d3469 مروحة 88 ديسيبل كابينة 8db4c1f802a4228d4ab922 afdba3 c7d52a99a7fba0d249297720b4dc81f091d4d4d4d4d4d4c4d 4cf91x7a0b11 daf07271d5b7029b38004200f1b21a4dd 12337710 a67 dbea 8094f7de7ce668fbe9776cef701b84e375b1c293fc8b 23d3d05c5cc 5cc5c5 ccc5 كاب78bae3a8d8617364d89585e0bd0 تاريخ 9 ديسمبر 7320 قدم 5c9aae65208
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد