Detección de IceRAT Malware: Atrápame si Puedes

[post-views]
diciembre 24, 2020 · 4 min de lectura
Detección de IceRAT Malware: Atrápame si Puedes

IceRAT es una herramienta relativamente nueva en el ámbito malicioso, siendo una cepa única en cuanto a sus características y tácticas de evasión sin precedentes. Notablemente, la amenaza tiene tasas de detección muy bajas, actuando como un malware sigiloso capaz de robar datos sensibles y activos financieros de las máquinas objetivo.

¿Qué es el malware IceRAT?

A pesar de su nombre, IceRAT es más bien una puerta trasera que un troyano de acceso remoto. Sus características principales están dirigidas a infecciones encadenadas y descarga de malware adicional, mientras que la funcionalidad tradicional de RAT (por ejemplo, ejecución de comandos) está ausente. Desde su descubrimiento en enero de 2020, IceRAT ha infectado con éxito a víctimas con una amplia gama de ladrones de información, criptomineros, registradores de teclas y clippers. Notablemente, el malware se distribuye principalmente a través de campañas de spam y «crackers» troyanizados. Por ejemplo, la primera versión detectada de IceRAT infectó a víctimas a través de documentos maliciosos que contenían descargas de software troyanizado para el navegador CryptoTab. El host de IceRAT y el servidor C2 hxxp://malina1306.zzz(.)com.ua están ubicados en un sitio web en cirílico, lo que podría indicar que los desarrolladores de IceRAT podrían ser de origen europeo oriental o ruso. Aunque IceRAT no puede proporcionar control remoto completo al dispositivo objetivo, debe considerarse como una pieza de software altamente peligrosa capaz de causar graves daños a los dispositivos, pérdidas financieras y de datos, problemas de privacidad, así como el robo de identidad.

Tácticas de evasión de puerta trasera IceRAT

El análisis en profundidad de IceRAT revela que es el primer malware escrito en JPHP, una implementación de PHP que se ejecuta en Java VM. En consecuencia, IceRAT se basa en archivos .phb en lugar de los tradicionales .class de Java. Tal peculiaridad permite que la amenaza alcance una tasa de detección extremadamente baja en VirusTotal, ya que los archivos .php generalmente no son soportados por motores de AV. Otra característica poco común que contribuye a la exitosa evasión es la arquitectura de IceRAT. La implementación es altamente fragmentada y evita poner toda la funcionalidad en un solo archivo. En particular, el malware IceRAT utiliza múltiples archivos encargados de ejecutar cada función señal por separado. Por lo tanto, en caso de que se descubra el componente descargador, podría considerarse benigno porque el contenido malicioso falta. reveals it is the first-ever malware written in JPHP, a PHP implementation running on Java VM. Consequently, IceRAT relies on .phb files instead of traditional Java .class ones. Such a peculiarity allows the threat to reach an extremely low detection rate on VirusTotal since .php files are not generally supported by AV engines. Another uncommon feature that contributes to the successful evasion is IceRAT’s architecture. The implementation is highly fragmented and avoids putting all functionality in one file. Particularly, IceRAT malware uses multiple files tasked to execute each signal function separately. Therefore, in case the downloader component is discovered, it might be considered benign because the malicious content is missing.

Detección de Ataque IceRAT

Las técnicas únicas de evasión aplicadas para el malware IceRAT hacen que sea una tarea complicada detectar la actividad maliciosa a tiempo. Nuestro desarrollador del programa Threat Bounty Osman Demir proporcionó una regla de caza de amenazas para la defensa proactiva:

https://tdm.socprime.com/tdm/info/SkTSU9lyAHTA/jkLNiXYBmo5uvpkj4Mhr/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, ELK Stack, QRadar, Splunk, Sumo Logic, Humio, Graylog, LogPoint, RSA NetWitness

MITRE ATT&CK:

Tácticas: Descubrimiento, Persistencia, Ejecución

Técnica: Descubrimiento de Procesos (T1057), Claves Run del Registro / Carpeta de Inicio (T1060), Instrumentación de Administración de Windows (T1047)

Regístrate en el Threat Detection Marketplace para acceder a más contenido de defensa proactiva. ¿Listo para contribuir a las iniciativas de caza de amenazas? Únete a nuestro programa Threat Bounty para enriquecer la biblioteca de contenido SOC y compartirla con la comunidad del Threat Detection Marketplace.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias