Detección de IcedID Botnet: Ataques de Malvertising que Abusan de los Anuncios de Pago Por Clic (PPC) de Google
Tabla de contenidos:
A finales de diciembre de 2022, investigadores de ciberseguridad observaron un nuevo estallido de actividad maliciosa distribuyendo el destacado botnet IcedID. En esta campaña adversaria en curso, los actores de amenazas abusan de los anuncios de Google de pago por clic (PPC) para difundir la nueva variante de malware conocida como TrojanSpy.Win64.ICEDID.SMYXCLGZ.
Detección de Infecciones del Botnet IcedID a Través del Malvertising
En vista de que el botnet IcedID está en constante evolución, añadiendo nuevos trucos a su conjunto de herramientas maliciosas, los profesionales de seguridad requieren una fuente confiable de contenido de detección para identificar proactivamente los posibles ataques. Para garantizar que los defensores cibernéticos estén bien armados contra la amenaza en evolución, la Plataforma de Detección como Código de SOC Prime agrega un conjunto de reglas Sigma por nuestros astutos desarrolladores de Threat Bounty Kaan Yeniyol, Emir Erdoğan, y Nattatorn Chuensangarun que cubren las últimas campañas de los operadores del botnet IcedID.
Todo el contenido de detección es compatible con más de 25 soluciones SIEM, EDR, BDP y XDR y está mapeado en el marco de trabajo MITRE ATT&CK® v12 abordando las tácticas de Evasión de Defensa y Ejecución y las técnicas correspondientes de Ejecución de Proxy de Binarios de Sistema (T1218) e Intérprete de Comandos y Scripts (T1059).
Únete a nuestro Programa de Threat Bounty para monetizar tu contenido de detección exclusivo mientras desarrollas tu futuro CV y perfeccionas tus habilidades de ingeniería de detección. Publicadas en el mercado de detección de amenazas más grande del mundo y exploradas por 8,000 organizaciones globalmente, tus reglas Sigma pueden ayudar a detectar amenazas emergentes y hacer del mundo un lugar más seguro mientras otorgan beneficios financieros recurrentes.
Hasta la fecha, la Plataforma SOC Prime agrega una variedad de reglas Sigma detectando herramientas y técnicas de ataque asociadas con el malware IcedID. Presiona el botón Explorar Detecciones para verificar los últimos algoritmos de detección acompañados de las referencias correspondientes de ATT&CK, enlaces de inteligencia de amenazas y otros metadatos relevantes.
Distribución del Botnet IcedID: Análisis del Ataque de Malvertising
El botnet IceID ha estado en el centro de atención en el ámbito de las amenazas cibernéticas desde 2017, representando un riesgo significativo para las organizaciones debido a la constante evolución y sofisticación de sus variantes. IcedID es capaz de entregar otras cargas útiles, incluyendo Cobalt Strike y otras cepas maliciosas.
Utilizado anteriormente como un troyano bancario también conocido como BankBot o BokBot y diseñado para robar datos financieros y credenciales bancarias, el malware evolucionó hacia una carga útil más avanzada aprovechando el secuestro de correos electrónicos para comprometer servidores de Microsoft Exchange en abril de 2022. El mismo mes, el malware IcedID también fue utilizado en los ciberataques dirigidos a organismos estatales ucranianos según la alerta correspondiente de CERT-UA.
En las últimas campañas adversarias que extienden el botnet IceID, investigadores de ciberseguridad de Trend Micro han descubierto cambios sorprendentes en los métodos de distribución del malware. Los actores de amenazas aplican la técnica de malvertising, que implica secuestrar las palabras clave seleccionadas en los motores de búsqueda para mostrar anuncios maliciosos utilizados como señuelos para engañar a los usuarios comprometidos a descargar el malware. En los ataques de malvertising en curso, los adversarios aprovechan los anuncios de pago por clic (PPC) de Google populares que permiten a las empresas mostrar el producto o servicio anunciado a una amplia audiencia objetivo que navega a través del motor de búsqueda de Google. Los distribuidores de IceID propagan malware aprovechando páginas web clonadas de empresas legítimas o aplicaciones ampliamente utilizadas para atraer a los usuarios de Google PPC Ads.
Notablemente, el 21 de diciembre de 2022, la Oficina Federal de Investigaciones (FBI) emitió un anuncio público advirtiendo a los defensores cibernéticos sobre los crecientes volúmenes de campañas de malvertising, en las que los atacantes suplantan marcas a través de anuncios de motores de búsqueda para robar credenciales de inicio de sesión y otros datos financieros.
Según la investigación de Trend Micro, los distribuidores de IceID secuestran las palabras clave de los motores de búsqueda aplicadas por una amplia gama de marcas populares y aplicaciones para mostrar anuncios maliciosos, incluyendo Adobe, Discord, Fortinet, Slack, Teamviewer y más. La cadena de infección comienza con la distribución de un cargador, seguido por la obtención de un núcleo de bot, y finalmente, la entrega de una carga útil maliciosa. En la última campaña de distribución de IcedID, el cargador se utiliza mediante un archivo MSI, lo cual es poco común para otros ataques que propagan el botnet IcedID.
Como medidas de mitigación potenciales que se pueden tomar para minimizar los riesgos de los ataques de malvertising, los defensores cibernéticos recomiendan aplicar bloqueadores de anuncios, aprovechar los servicios de protección de dominio y aumentar la concienciación sobre ciberseguridad respecto a los riesgos relacionados con el uso de sitios web suplantados.
Para frustrar los ataques de malvertising cada vez mayores, los defensores cibernéticos deben adoptar un enfoque proactivo de ciberseguridad para identificar de manera oportuna la presencia del malware en el entorno de la organización. Obtén acceso instantáneo a reglas Sigma únicas para detección de ataques de malvertising y explora el contexto relevante de amenazas cibernéticas, tales como referencias de ATT&CK y CTI, binarios ejecutables, mitigaciones y más metadatos procesables para una investigación de amenazas optimizada.
