Le logiciel malveillant IcedID détourne des fils de discussion d’e-mails pour livrer une charge utile invisible
Une soudaine augmentation de l’activité de piratage d’e-mails IcedID a été identifiée par des chercheurs en sécurité. IcedID, alias BokBot opère depuis 2017. Une évolution progressive a conduit ce malware d’un trojan bancaire classique à une charge sophistiquée qui détourne les conversations par e-mail en cours et injecte du code malveillant via un réseau de serveurs Microsoft Exchange compromis.
Les macros précédemment utilisées dans les documents Word ont été remplacées par les attaquants par des ISO contenant des fichiers LNK et DLL Windows qui, lorsqu’ils sont exécutés ensemble, échappent à la détection et fonctionnent discrètement sans que la victime en soit consciente. Les régions les plus souvent ciblées incluent les secteurs juridique, de la santé, pharmaceutique et énergétique. L’objectif principal est d’obtenir un accès initial qui est ensuite vendu à d’autres adversaires.
Détection de Malware IcedID
La dernière règle de détection basée sur Sigmapour repérer l’activité d’évasion de défense de IcedID est écrite par notre développeur Threat Bounty Osman Demir. Connectez-vous à votre compte SOC Prime ou inscrivez-vous sur la plateforme pour accéder au code ainsi qu’aux informations pertinentes sur les menaces cybernétiques :
Cet élément de détection est traduit dans les formats SIEM, EDR et XDR suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender pour Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de défense et la technique d’exécution de proxy de binaire signé (T1218).
IcedID a été documenté pour la première fois par IBM en 2017, et depuis lors, les adversaires n’ont cessé d’améliorer leurs techniques et modifications du malware. Vous pouvez voir la liste complète des algorithmes de détection disponibles sur la plateforme Detection as Code de SOC Prime pour protéger en continu votre infrastructure contre les menaces cybernétiques complexes. Et si vous avez de l’expertise dans ce domaine, vous pouvez aussi contribuer en publiant du contenu sur notre plateforme, obtenant des récompenses monétaires pour rendre le monde cybernétique plus sûr.
Voir les détections Rejoindre Threat Bounty
La charge utile IcedID commence avec un e-mail de phishing. Le message incite un utilisateur à télécharger et décompresser une archive ZIP jointe qui est également protégée par un mot de passe fourni dans le corps du message. Comme nous l’avons mentionné auparavant, cet e-mail se présente comme une réponse à une conversation en cours, avec une adresse de l’expéditeur légitime. Mais en réalité, il s’agit d’un message falsifié provenant d’un serveur Microsoft Exchange compromis.
Le contenu d’une archive ZIP malveillante comprend un seul fichier ISO, qui contient à son tour deux fichiers : DLL et LNK. Selon les horodatages, le fichier DLL est généralement plus récent que LNK, c’est pourquoi les chercheurs suggèrent que les fichiers LNK pourraient être utilisés dans quelques e-mails de phishing. Le DLL est accompagné d’une icône intégrée qui le fait ressembler à un document. En cliquant dessus, le chargeur IcedID commence son exécution et télécharge le principal La charge utile IcedID.
En décompilant la fonction de hachage de l’API, le chargeur localise la charge utile, la décrypte, la place dans la mémoire de l’appareil et l’exécute. Après cela, le GZiploader IcedID peut envoyer des requêtes à un serveur de commande et de contrôle (C&C) et obtenir des réponses.
Les campagnes IcedID ont atteint un nouveau niveau de sophistication technique en mars 2022, utilisant des packers de commodité et plusieurs étapes pour déguiser l’activité du malware voleur d’informations IcedID. Profitez de la puissance de la défense collaborative en rejoignant la plateforme Detection as Code de SOC Prime et déverrouillez un accès instantané aux détections les plus à jour à la volée.
