卡巴斯基研究人員稱，一款 IcedID 網(wǎng)銀木馬的新變種正在迅速傳播，檢測峰值甚至達到了每日 100 個。截止 2021 年 3 月，其在德國（8.58%）、意大利（10.73%）、印度（11.59%）和美國（10.73%）等地區(qū)的傳播力最為顯著。與舊版木馬相比，新變種利用了修改過的英文下載器，其中包含了經(jīng)過壓縮的 ZIP 格式惡意軟件。

　　至于 IcedID 的感染過程，主要分成下載器和本體兩個部分。前者將用戶信息發(fā)送到服務器端，以供惡意軟件本體使用。在將自身映射到內存后，后者會將惡意軟件進一步滲透到受害者的系統(tǒng)中。

　　此外該木馬還可啟動其它惡意操作，比如允許威脅行為者繞過雙因素身份驗證（2FA）或運行惡意動態(tài)鏈接庫（DLL）的 Web 注入。這兩種方法，都允許下載和執(zhí)行滲透到系統(tǒng)身處的其它惡意模塊。

IcedID 攻擊的地理位置分布

　　包括下載電子郵件收集器、Web 注入模塊、密碼抓取器、以及 hVNC 遠程控制模塊等組件，以執(zhí)行 Web 注入、流量攔截、系統(tǒng)接管、以及密碼竊取。

　　至于 QBot 和 IcedID 的區(qū)別，主要是新變種變得能夠利用 x86-64 CPU 架構、從服務器端移除了假配置、且核心也略有改動，因為作者決定不將 shellcode 交換為包含一些加載程序數(shù)據(jù)的常規(guī) PE 文件。

QBot 攻擊的地理位置分布