اعتاد بائعو البرمجيات الخبيثة في البنوك التنافس على الضحايا عن طريق البحث عن البرمجيات الخبيثة الخاصة بالمنافس وحذفها إذا ثبت أنها مثبتة بالفعل على نظام الضحية. ومع ذلك ، فإن المجموعات التي تقف وراء IcedID و Trickbot malware ، وهي أحدث إصدار من البرامج الضارة المصرفية "Dyre" ، تلعب دورًا لطيفًا مع بعضها البعض ، كما يقول Flashpoint.
يتعاون مبدعو البرامج الضارة مع البرامج وتطويرها بطريقة تسمح لهم بمشاركة الأرباح من هجوم ناجح على الضحية. اكتشف الباحثون لأول مرة البرامج الضارة IcedID في نوفمبر 2017.
وتقول Flashpoint إنها تحتوي على أدلة تشير إلى أن مشغلي Trickbot و IcedID botnet قد توصلوا إلى نوع من ترتيبات المشاركة في الربح حيث يستخدمون البرمجيات الخبيثة والبنية التحتية لبعضهم البعض لاستبعاد بنك الضحايا. الحسابات.
قام فريق من شركة X-Force Research التابعة لشركة IBM بنشر تقرير يدعي أنه اكتشف برنامجًا مصرفيًا جديدًا ينتشر عبر حملات الرسائل غير المرغوب فيها. أجهزة الكمبيوتر التي تم اختراقها سوف تكون مصابة بتنزيل برنامج Emotet الذي سيحصل على IcedID من مجال المهاجمين.
مثل هذه الشراكات نادرة للغاية في عالم الجريمة السيبرانية ، حيث من المرجح أن تقوم المجموعات المتنافسة بخرق البرامج الضارة لبعضها البعض من أنظمة الضحية بدلاً من التعاون في حملة ضارة. بالنسبة للمؤسسات ، يمكن أن يؤدي هذا الاتجاه إلى ورطة جديدة.
اعتقد معظم الباحثين أن Emotet تم اختراقه من قبل مشغلي طروادة "Dridex" المصرفية. يستخدم IcedID للحفاظ على استمرار داخل الأجهزة المصابة.
يقول فيتالي كريميز ، مدير الأبحاث في شركة Flashpoint: "يشير هذا التعاون إلى أن مشغلي البرمجيات الخبيثة ذوي الخوذات المرتفعة سيعملون على هزيمة تدابير مكافحة الاحتيال في مكان يمكن فيه التوصل إلى اتفاق معقول لتقاسم الأرباح بين مختلف المجموعات".
يستخدم IcedID و TrickBot أجهزة التقاط الرمز المميز وهجمات إعادة التوجيه وحقن الويب لسرقة بيانات الاعتماد المصرفية عند تسجيل دخول المستخدم إلى حسابه المصرفي. تحاول البرمجيات الخبيثة أن تندمج بعمق في نظام الضحية في محاولة للتأكد من أنه من شبه المستحيل إزالته.