IcedID Sfrutta Metodi di Consegna Innovativi, Aumenta Significativamente i Tassi di Infezione
Indice:
L’Indice Globale delle Minacce di Check Point Research per marzo 2021 rivela che gli operatori del trojan bancario IcedID stanno entrando nel grande gioco. Lo scorso mese IcedID è stato incluso nell’Indice per la prima volta, immediatamente al secondo posto dopo il famigerato Dridex. Un aumento delle infezioni e della notorietà è spiegato dai metodi innovativi di consegna che gli operatori di IcedID applicano per raggiungere nuove vette. Gli esperti di sicurezza ritengono che questa rapida costruzione di capacità sia guidata dal desiderio di sostituire il botnet Emotet recentemente interrotto nell’arena del malware.
Trojan Bancario IcedID
IcedID (aka BokBot) è un trojan bancario modulare in grado di rubare dati finanziari e fungere da veicolo per campioni di malware di secondo livello. Dopo essere emerso per la prima volta a settembre 2017, il malware è stato utilizzato in multiple campagne malevole mirate a banche, fornitori di carte di pagamento, venditori di telecomunicazioni e siti di e-commerce negli Stati Uniti. Inizialmente, il trojan IcedID veniva distribuito da Emotet, ma nel tempo sono stati ottenuti nuovi metodi di consegna.
Il ladro di informazioni IcedID ha una vasta funzionalità malevola che consente ai suoi operatori di scaricare credenziali di accesso per sessioni bancarie online, prendere controllo dei conti bancari e automatizzare transazioni fraudolente. In particolare, al momento dell’infezione, il malware si propaga attraverso la rete compromessa, monitorando tutte le attività sul PC e conducendo attacchi man-in-the-browser. Tali attacchi seguono tre fasi, tra cui iniezione web, configurazione proxy e reindirizzamento. Questo approccio consente a IcedID di ingannare le vittime tramite ingegneria sociale e bypassare l’autenticazione a più fattori mentre accede ai conti bancari. Per non farsi rilevare durante le azioni malevoli, IcedID nasconde la sua configurazione con l’aiuto della tecnica della steganografia, applicando contemporaneamente funzionalità anti-VM e anti-debug.
Notoriamente, oltre ad eseguire la funzionalità di furto di dati, il malware viene sempre più utilizzato come veicolo di secondo livello. Gli esperti di sicurezza ritengono che la minaccia stia andando verso un modello malware-as-a-service (MaaS), con vari ransomware già distribuiti nelle campagne IcedID.
Nuovi Metodi di Consegna
Dopo l’interruzione del botnet Emotet a gennaio 2021, i manutentori di IcedID hanno iniziato a diversificare il metodo di consegna per aumentare i tassi di infezione. Lo scorso mese, i ricercatori di sicurezza di Uptycs hanno identificato una nuova campagna IcedID che abusava del supporto xlsm per le formule macro di Excel 4.0 nelle celle del foglio di calcolo. In particolare, gli avversari sfruttano questa funzione per incorporare codice arbitrario e scaricare eseguibili malevoli tramite URL. Negli ultimi tre mesi, gli esperti di Uptycs hanno individuato oltre 15.000 richieste HTTP per documenti malevoli, la maggior parte delle quali erano fogli di calcolo di Microsoft Excel con un’estensione.
Inoltre, in aprile 2021, Microsoft ha rivelato un metodo di consegna ancora più insolito per il trojan IcedID. Nella campagna più recente, gli operatori del malware hanno sfruttato i moduli di contatto dei siti web per colpire aziende di varie dimensioni. Gli attaccanti hanno abusato di questi moduli per inviare email contraffatte che informavano di un presunto problema legale. In particolare, l’email informava di una violazione del copyright e conteneva un URL malevolo che portava a una pagina di Google. Nel caso in cui un utente fosse stato ingannato a seguire questo link, la pagina scaricava un archivio ZIP malevolo con un file JS pesantemente offuscato all’interno. Una volta estratto, il file JS viene eseguito tramite WScript per scaricare il payload finale IcedID.
Rilevamento di IcedID
Per stare al passo con i metodi innovativi di infezione del famigerato trojan IcedID, puoi scaricare regole Sigma su misura rilasciate dal nostro prolifico sviluppatore di Threat Bounty Osman Demir.
IcedID (BokBot) da File JS Zippato
Campagna IcedID Rilevata con l’Aggiunta di Macro Excel 4
Campagna di Malspam Distribuisce IcedID e Porta a Ransomware REvil
Inoltre, puoi consultare l’elenco completo delle rilevazioni di IcedID disponibili nel Threat Detection Marketplace.
Ottieni un abbonamento gratuito alla nostra piattaforma Detection as Code per potenziare le tue capacità di difesa informatica e ridurre il tempo medio per la rilevazione degli attacchi. La nostra prima libreria di contenuti SOC del settore aggrega oltre 100.000 regole, parser e query di ricerca mappate su CVE e sui framework MITRE ATT&CK®. Oltre 300 collaboratori arricchiscono ogni giorno la libreria per consentire la rilevazione continua delle minacce informatiche più allarmanti. Sei desideroso di contribuire alle iniziative di ricerca delle minacce e creare le tue regole Sigma? Unisciti al nostro Threat Bounty Program!
