Rilevamento del Botnet IcedID: Attacchi di Malvertising che Abusano degli Annunci PPC di Google

[post-views]
Dicembre 27, 2022 · 6 min di lettura
Rilevamento del Botnet IcedID: Attacchi di Malvertising che Abusano degli Annunci PPC di Google

Alla fine di dicembre 2022, i ricercatori di cybersecurity hanno osservato un nuovo picco di attività malevola distribuita dal noto botnet IcedID. In questa campagna avversaria in corso, i criminali informatici sfruttano gli annunci pay-per-click (PPC) di Google per diffondere la nuova variante di malware tracciata come TrojanSpy.Win64.ICEDID.SMYXCLGZ.

Rilevamento delle infezioni da botnet IcedID tramite malvertising

Dato che il botnet IcedID è in continua evoluzione, aggiungendo nuovi trucchi al suo arsenale malevolo, i professionisti della sicurezza richiedono una fonte affidabile di contenuti di rilevamento per identificare proattivamente potenziali attacchi. Per garantire che i difensori informatici siano ben equipaggiati contro la minaccia in evoluzione, la piattaforma Detection as Code di SOC Prime aggrega un set di regole Sigma dai nostri esperti sviluppatori di Threat Bounty Kaan Yeniyol, Emir Erdogan, e Nattatorn Chuensangarun che coprono le ultime campagne dagli operatori del botnet IcedID. 

Tutti i contenuti di rilevamento sono compatibili con oltre 25 soluzioni SIEM, EDR, BDP e XDR e sono mappati al framework MITRE ATT&CK® v12 affrontando le tattiche di Evasione della Difesa ed Esecuzione e le tecniche corrispondenti di System Binary Proxy Execution (T1218) e Command and Scripting Interpreter (T1059).

Unisciti al nostro Programma di Threat Bounty per monetizzare i tuoi contenuti di rilevamento esclusivi mentre crei il futuro del tuo CV e affini le tue abilità di engineering del rilevamento. Pubblicate sul più grande marketplace al mondo per il rilevamento delle minacce ed esplorate da 8.000 organizzazioni a livello globale, le tue regole Sigma possono aiutare a rilevare minacce emergenti e rendere il mondo più sicuro garantendo profitti finanziari ricorrenti.

Ad oggi, la piattaforma SOC Prime aggrega una varietà di regole Sigma che rilevano strumenti e tecniche di attacco associate al malware IcedID. Premi il pulsante Esplora rilevamenti per verificare gli ultimi algoritmi di rilevamento accompagnati dai riferimenti ATT&CK corrispondenti, link di intelligence sulle minacce e altri metadati rilevanti.

pulsante Esplora rilevamenti

Distribuzione del Botnet IcedID: Analisi dell’attacco di Malvertising

Il botnet IceID è stato sotto i riflettori nel panorama delle minacce informatiche dal 2017, rappresentando un rischio significativo per le organizzazioni a causa dell’evoluzione costante e della sofisticazione delle sue varianti. IcedID è in grado di consegnare altri payload, inclusi Cobalt Strike e altre varianti malevole.

Utilizzato in precedenza come Trojan bancario noto anche come BankBot o BokBot e progettato per rubare dati finanziari e credenziali bancarie, il malware si è evoluto verso un payload più avanzato sfruttando il dirottamento delle email per compromettere i server Microsoft Exchange nell’aprile 2022. Lo stesso mese, il malware IcedID è stato anche utilizzato negli attacchi informatici che hanno preso di mira enti statali ucraini secondo l’ allerta CERT-UA corrispondente

Nelle ultime campagne avversarie che diffondono il botnet IceID, i ricercatori di Trend Micro nel campo della cybersecurity hanno scoperto cambiamenti sorprendenti nei metodi di distribuzione del malware. Gli attori delle minacce applicano la tecnica del malvertising, che implica il dirottamento delle parole chiave selezionate del motore di ricerca per mostrare annunci malevoli utilizzati come esche per ingannare gli utenti compromessi a scaricare il malware. Negli attacchi di malvertising in corso, gli avversari si avvalgono dei popolari annunci Google pay-per-click (PPC) che consentono alle aziende di mostrare il prodotto o servizio pubblicizzato a un vasto pubblico target che effettua ricerche tramite il motore di ricerca di Google. I distributori di IceID diffondono il malware utilizzando pagine web clonate di aziende legittime o applicazioni ampiamente utilizzate per attrarre gli utenti degli annunci PPC di Google.  have uncovered striking changes in the malware distribution methods. Threat actors apply the malvertising technique, which involves hijacking the selected search engine keywords to show malicious ads used as lures to trick compromised users into downloading the malware. In the ongoing malvertising attacks, adversaries take advantage of the popular Google pay-per-click (PPC) ads that enable businesses to display the advertised product or service to a broad target audience browsing via a Google search engine. IceID distributors spread malware leveraging cloned webpages of legitimate companies or widely-used applications to lure Google PPC Ads users. 

In particolare, il 21 dicembre 2022, il Federal Bureau of Investigation (FBI) ha emesso un annuncio pubblico avvertendo i difensori informatici dei crescenti volumi di campagne di malvertising, in cui gli attaccanti impersonano marche tramite annunci sui motori di ricerca per rubare credenziali di accesso e altri dati finanziari.

Secondo la ricerca di Trend Micro, i distributori di IceID dirottano le parole chiave del motore di ricerca applicate da un’ampia gamma di marche e applicazioni popolari per mostrare annunci malevoli, inclusi Adobe, Discord, Fortinet, Slack, Teamviewer e altri. La catena di infezione inizia con la distribuzione di un loader, seguita dal recupero di un core bot e infine dalla consegna di un payload malevolo. Nell’ultima campagna di distribuzione di IcedID, il loader viene distribuito utilizzando un file MSI, che è insolito per altri attacchi che diffondono il botnet IcedID. 

Come potenziali misure di mitigazione che possono essere adottate per minimizzare i rischi degli attacchi di malvertising, i difensori informatici raccomandano di applicare blocchi pubblicità, sfruttare servizi di protezione dei domini e aumentare la consapevolezza della cybersecurity sui rischi legati all’utilizzo di siti web fittizi. 

Per contrastare gli attacchi di malvertising in continua crescita, i difensori informatici dovrebbero adottare un approccio proattivo alla cybersecurity per identificare tempestivamente la presenza di malware nell’ambiente dell’organizzazione. Ottieni accesso immediato a regole Sigma uniche per il rilevamento degli attacchi di malvertising ed esplora il contesto rilevante delle minacce informatiche, come riferimenti ATT&CK e CTI, binari eseguibili, mitigazioni e più metadati azionabili per ricerche sulle minacce ottimizzate. 

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA 6 min di lettura Ultime Minacce Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA by Veronika Telychko Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware 8 min di lettura Ultime Minacce CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware by Veronika Telychko
Tutte le notizie