Malware IcedID Secuestra Hilos de Email Entregando Carga Única
Un repentino aumento en la actividad de suplantación de correo electrónico de IcedID fue identificado por investigadores de seguridad researchers. IcedID, también conocido como BokBot ha estado operando desde 2017. Una evolución gradual ha llevado a este malware de ser un troyano bancario convencional a una carga útil sofisticada que secuestra conversaciones de correo electrónico en curso e inyecta código malicioso a través de una red de servidores Microsoft Exchange comprometidos.
Los macros anteriormente utilizados en documentos de Word han sido reemplazados por los atacantes con archivos ISO que contienen archivos LNK y DLL de Windows que, cuando se ejecutan juntos, evitan la detección y se ejecutan silenciosamente sin que la víctima sea consciente de ello. Las regiones más frecuentemente atacadas incluyen los sectores legal, salud, farmacéutico y energético. El objetivo principal es obtener acceso inicial, que luego se vende a otros adversarios.
Detección de Malware IcedID
La última regla de detección basada en Sigma para identificar la actividad de evasión de defensa de IcedID está escrita por nuestro desarrollador de Threat Bounty-based detection rule for spotting the activity of IcedID defense evasion is written by our Threat Bounty developer Osman Demir. Inicie sesión en su cuenta de SOC Prime o regístrese en la plataforma para acceder al código junto con inteligencia relevante sobre amenazas cibernéticas:
Este elemento de detección se traduce en los siguientes formatos de SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
La regla está alineada con el último marco de trabajo MITRE ATT&CK® v.10, abordando la táctica de Evasión de Defensa y la técnica de Ejecución de Proxy de Binarios Firmados (T1218).
IcedID fue documentado por primera vez por IBM en 2017 y desde entonces, los adversarios han estado mejorando sus técnicas y modificaciones de malware. Puede ver la lista completa de algoritmos de detección disponibles en la plataforma de Detection as Code de SOC Prime para proteger continuamente su infraestructura contra amenazas cibernéticas complejas. Y si tiene experiencia en este campo, también puede contribuir a publicar contenido en nuestra plataforma, obteniendo recompensas monetarias por hacer del mundo cibernético un lugar más seguro.
Ver Detecciones Únase a Threat Bounty
Carga útil de IcedID comienza con un correo electrónico de phishing. El mensaje solicita al usuario que descargue y descomprima un archivo ZIP adjunto que también está protegido con un código de acceso proporcionado en el cuerpo del mensaje. Como mencionamos antes, este correo electrónico viene como respuesta a un hilo de conversación en curso, teniendo una dirección de remitente legítima. Pero en realidad, este es un mensaje falsificado de un servidor Microsoft Exchange comprometido.
El contenido de un archivo ZIP malicioso incluye un solo archivo ISO, que, respectivamente, contiene dos archivos: DLL y LNK. Según los códigos de tiempo, el archivo DLL suele ser más reciente que el LNK, por lo que los investigadores sugieren que los archivos LNK podrían ser utilizados en algunos correos electrónicos de phishing. El DLL viene con un icono incrustado que lo hace parecer un documento. Al hacer clic en él, el cargador de IcedID comienza su ejecución y descarga el principal Carga útil de IcedID.
Al descompilar la función de hashing de API, el cargador localiza la carga útil, la desencripta, la coloca en la memoria del dispositivo y la ejecuta. Después de eso, el IcedID GZiploader puede enviar solicitudes a un servidor de comando y control (C&C) y obtener respuestas.
Las campañas de IcedID alcanzaron un nuevo nivel de sofisticación técnica en marzo de 2022, utilizando empaquetadores comerciales y múltiples etapas para disfrazar la actividad del malware de robo de información IcedID. Aproveche el poder de la defensa colaborativa uniéndose a la plataforma de Detection as Code de SOC Prime y desbloquee acceso instantáneo a las detecciones más actualizadas sobre la marcha.
