Hackers de TA551 Distribuyen el Troyano IcedID en una Nueva Ola de Campaña de Malspam
Tabla de contenidos:
A partir de julio de 2020, los investigadores de seguridad observan cambios notables implementados en el procedimiento de malspam TA551 (también conocido como Shathak). Los actores detrás de la campaña TA551 han cambiado de la distribución de Ursnif y Valak a infecciones del troyano bancario IcedID.
Resumen de TA551
TA551 es una campaña de malspam de larga duración que surgió en febrero de 2019. Inicialmente, se centró en entregar el troyano bancario Ursnif (Gozi/Gozi-ISFB) a víctimas de habla inglesa. Sin embargo, para finales de 2019, los investigadores observaron que Valak e IcedID se recuperaban regularmente como malware de segunda etapa. La audiencia también se expandió a lo largo de 2019, apuntando a víctimas alemanas, italianas y japonesas. En 2020, TA551 abandonó Ursnif y se centró en el cargador Valak. TA551 promovió exclusivamente Valak hasta julio de 2020, con el malware ZLoader (Terdot, DELoader) raramente distribuido también. Finalmente, en el segundo trimestre de 2020, TA551 cambió a la propagación del troyano bancario IcedID.
La rutina maliciosa de TA551 se basa en cadenas de correos electrónicos falsificados usados como cebo. Estas cadenas de correo se obtienen de hosts de Windows comprometidos anteriormente y luego se envían a los destinatarios originales. Los correos malspam muestran un texto convincente que pide a la víctima que extraiga un archivo ZIP adjunto protegido con contraseña. En caso de que la víctima sea engañada, el archivo aparece pop con un archivo de Word con macros. Una vez habilitadas, las macros dejan caer el instalador DLL al PC comprometido, el cual a su vez descarga la carga útil maliciosa final.
Cambio de Valak a IcedID
A partir de mediados de julio de 2020, los investigadores de seguridad identificaron la campaña de malspam TA551 distribuyendo exclusivamente el troyano bancario IcedID. La primera ola de infecciones solo apuntó a usuarios de habla inglesa. Luego, el 27 de octubre de 2020, los operadores de TA551 cambiaron a plantillas de documentos de Word en japonés, apuntando continuamente a usuarios japoneses por más de tres semanas. En noviembre de 2020, el malspam nuevamente se enfocó en la audiencia de habla inglesa. Notablemente, el malware IcedID fue con frecuencia entregado como carga útil de seguimiento por Ursnif y Valak. Y solo en el segundo trimestre de 2020, los hackers de TA551 decidieron concentrarse en IcedID como carga útil de primera etapa.
¿Qué es el malware IcedID?
IcedID (también conocido como BokBot) es un troyano bancario modular diseñado para robar datos bancarios y credenciales de las máquinas objetivo. Detectado por primera vez en 2017, IcedID estaba principalmente enfocado en los proveedores bancarios y de telecomunicaciones de EE. UU. Inicialmente, el troyano fue entregado por Emotet, pero con el tiempo se adquirieron nuevos patrones de distribución. El método principal de infección sigue siendo el mismo, siendo un malspam que contiene archivos de Word con macros.
El ladrón de información IcedID tiene una amplia gama de capacidades maliciosas acompañadas de sofisticadas funcionalidades de evasión. El troyano oculta su configuración con la ayuda de la técnica de esteganografía, aplicando simultáneamente características anti-VM y anti-depuración. Al estar infectado y ganar persistencia, el malware se propaga a través de la red comprometida, monitoreando toda la actividad en el PC y realizando ataques man-in-the-browser. Estos ataques siguen tres etapas, incluida la inyección web, la configuración del proxy y la redirección. Este enfoque permite a IcedID engañar a las víctimas mediante ingeniería social, robar sus detalles bancarios y eludir la autenticación multifactor mientras gana acceso a cuentas bancarias.
Detección de TA551
Para mejorar sus capacidades de defensa proactiva contra la campaña de malspam TA551, descargue una regla Sigma gratuita publicada por Joseph Kamau en el Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Ejecución de Proxy Binario Firmado (T1218)
Obtenga una suscripción gratuita al Threat Detection Marketplace y acceda a más contenido SOC curado compatible con la mayoría de las plataformas SIEM, EDR, NTDR y SOAR. ¿Entusiasta por contribuir a las actividades de caza de amenazas? Únase a nuestro programa Threat Bounty y comparta sus propias reglas Sigma con la comunidad SOC Prime.
