IcedID Aprovecha Métodos de Entrega Innovadores, Aumenta Significativamente las Tasas de Infección

El Índice de Amenazas Global de Check Point Research para marzo de 2021 revela que los operadores del troyano bancario IcedID están entrando al gran juego. El mes pasado IcedID fue incluido en el Índice por primera vez, ocupando de inmediato el segundo lugar justo después del infame Dridex. Un aumento en las infecciones y notoriedad se explica por los métodos de entrega innovadores que los operadores de IcedID aplican para alcanzar nuevas alturas. Los expertos en seguridad creen que tal rápido desarrollo de capacidades está impulsado por el deseo de sustituir al recientemente interrumpido botnet Emotet en la arena maliciosa. 

Troyano Bancario IcedID

IcedID (también conocido como BokBot) es un troyano bancario modular capaz de robar datos financieros y actuar como un descargador para muestras de malware de segunda etapa. Después de que surgiera por primera vez en septiembre de 2017, el malware ha sido utilizado en múltiples campañas maliciosas dirigidas a bancos, proveedores de tarjetas de pago, proveedores de telecomunicaciones y sitios de comercio electrónico en EE.UU. Inicialmente, el troyano IcedID fue entregado por Emotet, pero se obtuvieron nuevos métodos de entrega con el tiempo. 

El ladrón de información IcedID tiene una amplia funcionalidad maliciosa que permite a sus operadores extraer credenciales de inicio de sesión para sesiones de banca en línea, tomar el control de cuentas bancarias y automatizar transacciones fraudulentas. En particular, tras la infección, el malware se propaga a través de la red comprometida, monitoreando toda la actividad en el PC y conduciendo ataques man-in-the-browser. Estos ataques siguen tres etapas, incluyendo inyección web, configuración de proxy y redirección. Este enfoque permite a IcedID engañar a las víctimas a través de ingeniería social y eludir la autenticación multifactor al obtener acceso a las cuentas bancarias. Para pasar desapercibido mientras realiza las acciones maliciosas, IcedID oculta su configuración con la ayuda de la técnica de esteganografía, aplicando simultáneamente características anti-VM y anti-depuración.

Notablemente, además de realizar la función de robo de datos, el malware se está utilizando cada vez más como un descargador de segunda etapa. Los expertos en seguridad creen que la amenaza se está moviendo hacia un modelo de malware como servicio (MaaS), con varios ransomware ya entregados en las campañas de IcedID.

Nuevos Métodos de Entrega

Después de la interrupción del botnet Emotet en enero de 2021, los mantenedores de IcedID comenzaron a diversificar el método de entrega para aumentar las tasas de infección. El mes pasado, los investigadores de seguridad de Uptycs identificaron una nueva campaña de IcedID que abusa del soporte xlsm para las fórmulas de macros de Excel 4.0 en las celdas de hoja de cálculo. Específicamente, los adversarios aprovechan esta característica para incrustar el código arbitrario y descargar los ejecutables maliciosos a través de URLs. En los últimos tres meses, los expertos de Uptycs han detectado más de 15K solicitudes HTTP para documentos maliciosos, la mayoría de los cuales eran hojas de cálculo de Microsoft Excel con una extensión.

Además, en abril de 2021, Microsoft reveló un método de entrega aún más inusual para el troyano IcedID. En la última campaña, los operadores de malware aprovecharon los formularios de contacto de sitios web para dirigirse a empresas de diversos tamaños. Los atacantes abusaron de estos formularios para enviar correos electrónicos falsificados que hablaban sobre una supuesta amenaza legal. En particular, el correo electrónico informaba sobre una infracción de derechos de autor y contenía una URL maliciosa que llevaba a una página de Google. En caso de que un usuario fuera engañado para seguir este enlace, la página descargaba un archivo ZIP malicioso con un archivo JS fuertemente ofuscado dentro. Al extraerlo, el archivo JS se ejecutaba a través de WScript para descargar la carga final de IcedID.

Detección de IcedID

Para adelantarse a los métodos de infección innovadores del notorio troyano IcedID, puedes descargar reglas Sigma personalizadas lanzadas por nuestro prolífico desarrollador de Threat Bounty Osman Demir.

IcedID (BokBot) desde Archivo JS Zipeado

Campaña de IcedID Detectada siendo Combinada con Macros de Excel 4

Campaña de Malspam Lanza IcedID y Conduce a Ransomware REvil

También, puedes consultar la lista completa de detecciones de IcedID disponible en Threat Detection Marketplace.

Obtén una suscripción gratuita a nuestra plataforma de Detección como Código para mejorar tus capacidades de defensa cibernética y reducir el tiempo medio de detección de ataques. Nuestra biblioteca de contenido SOC, la primera de la industria, reúne más de 100K reglas,  analizadores,  y consultas de búsqueda mapeadas a los marcos CVE y MITRE ATT&CK®. Más de 300 contribuyentes enriquecen la biblioteca cada día para permitir la detección continua de las amenazas cibernéticas más alarmantes. ¿Deseas contribuir a las iniciativas de caza de amenazas y crear tus propias reglas Sigma? ¡Únete a nuestro Programa de Threat Bounty!

Ir a la Plataforma Únete a Threat Bounty