Détection du Botnet IcedID : Attaques par Malvertising Abusant des Annonces Pay-Per-Click (PPC) de Google
Table des matières :
À la fin de décembre 2022, des chercheurs en cybersécurité ont observé une nouvelle vague d’activités malveillantes distribuant le botnet IcedID. Dans cette campagne d’adversaires en cours, les acteurs de la menace exploitent les annonces Google pay-per-click (PPC) pour diffuser la nouvelle variante de malware suivie sous le nom de TrojanSpy.Win64.ICEDID.SMYXCLGZ.
Détection des infections par le botnet IcedID via le malvertising
Étant donné que le botnet IcedID évolue constamment, ajoutant de nouveaux tours à son arsenal malveillant, les professionnels de la sécurité nécessitent une source fiable de contenu de détection pour identifier de manière proactive les attaques potentielles. Pour s’assurer que les cyber-défenseurs sont bien armés contre cette menace évolutive, la plateforme Detection as Code de SOC Prime agrège un ensemble de règles Sigma par nos talentueux développeurs Threat Bounty Kaan Yeniyol, Emir Erdogan, et Nattatorn Chuensangarun couvrant les dernières campagnes des opérateurs du botnet IcedID.
Tout le contenu de détection est compatible avec plus de 25 solutions SIEM, EDR, BDP, et XDR et est mappé au cadre MITRE ATT&CK® v12 couvrant les tactiques d’évasion de défense et d’exécution et les techniques correspondantes d’exécution de proxy binaire système (T1218) et d’interpréteur de commande et de script (T1059).
Rejoignez notre programme Threat Bounty pour monétiser votre contenu de détection exclusif tout en élaborant votre futur CV et en perfectionnant vos compétences en ingénierie de détection. Publiées sur le plus grand marché de détection des menaces au monde et explorées par 8 000 organisations à l’échelle mondiale, vos règles Sigma peuvent aider à détecter les menaces émergentes et rendre le monde plus sûr tout en accordant des bénéfices financiers récurrents.
À ce jour, la plateforme SOC Prime agrège une variété de règles Sigma qui détectent les outils et techniques d’attaque associés au malware IcedID. Cliquez sur le bouton Explorer les détections pour vérifier les derniers algorithmes de détection accompagnés des références ATT&CK correspondantes, des liens de renseignement sur les menaces et d’autres métadonnées pertinentes.
Distribution du Botnet IcedID : Analyse des attaques de malvertising
Le botnet IceID est sous les feux de la rampe dans l’arène des menaces cyber depuis 2017, posant un risque significatif pour les organisations en raison de l’évolution constante et de la sophistication de ses variantes. IcedID est capable de diffuser d’autres charges utiles, y compris Cobalt Strike et d’autres souches malveillantes.
Utilisé auparavant comme un cheval de Troie bancaire également connu sous le nom de BankBot ou BokBot et conçu pour voler des données financières et des identifiants bancaires, le malware a évolué vers une charge utile plus avancée tirant parti du détournement de courriel pour compromettre les serveurs Exchange de Microsoft en avril 2022. Le même mois, le malware IcedID a également été exploité dans les cyberattaques visant les organismes d’État ukrainiens selon l’ alerte CERT-UA correspondante.
Dans les dernières campagnes d’adversaires répandant le botnet IceID, les chercheurs en cybersécurité de Trend Micro ont découvert des changements frappants dans les méthodes de distribution du malware. Les acteurs de la menace appliquent la technique de malvertising, qui implique le détournement des mots-clés des moteurs de recherche sélectionnés pour montrer des annonces malveillantes utilisées comme appâts pour tromper les utilisateurs compromis à télécharger le malware. Dans les attaques de malvertising en cours, les adversaires profitent des annonces Google pay-per-click (PPC) populaires qui permettent aux entreprises d’afficher le produit ou le service annoncé à un large public cible naviguant via un moteur de recherche Google. Les distributeurs d’IceID diffusent le malware en utilisant des pages web clonées d’entreprises légitimes ou d’applications largement utilisées pour attirer les utilisateurs des annonces PPC Google.
Notamment, le 21 décembre 2022, le Bureau fédéral d’enquête (FBI) a émis une annonce publique mettant en garde les cyber-défenseurs à propos des volumes croissants de campagnes de malvertising, dans lesquelles les attaquants usurpent l’identité de marques via des annonces de moteurs de recherche pour voler des identifiants de connexion et d’autres données financières.
Selon les recherches de Trend Micro, les distributeurs d’IceID détournent les mots-clés des moteurs de recherche appliqués par un large éventail de marques et d’applications populaires pour montrer des annonces malveillantes, notamment Adobe, Discord, Fortinet, Slack, Teamviewer, et plus encore. La chaîne d’infection commence par la distribution d’un chargeur, puis suivie par l’extraction d’un cœur de bot, et enfin, par la livraison d’une charge utile malveillante. Dans la dernière campagne de distribution d’IcedID, le chargeur est déployé en utilisant un fichier MSI, ce qui est inhabituel pour d’autres attaques répandant le botnet IcedID.
Comme mesures d’atténuation potentielles pouvant être prises pour minimiser les risques d’attaques de malvertising, les cyber-défenseurs recommandent d’appliquer des bloqueurs de publicités, de se servir de services de protection de domaine et d’augmenter la sensibilisation à la cybersécurité sur les risques liés à l’utilisation de sites Web usurpés.
Pour contrecarrer les attaques de malvertising toujours croissantes, les cyber-défenseurs devraient adopter une approche de cybersécurité proactive pour identifier en temps opportun la présence de malwares dans l’environnement de l’organisation. Accédez instantanément à des règles Sigma uniques pour la détection d’attaques par malvertising et explorez le contexte pertinent des menaces cyber, telles que les références ATT&CK et CTI, les binaires exécutables, les atténuations, et d’autres métadonnées exploitables pour une recherche de menaces rationalisée.
