Il Malware IcedID dirotta i Thread Email Consegnando un Payload Invisibile
Un improvviso aumento dell’attività di dirottamento delle email di IcedID è stato identificato dai ricercatori. IcedID, alias BokBot è operativo dal 2017. Un’evoluzione graduale ha portato questo malware da essere un normale trojan bancario a un payload sofisticato che dirotta le conversazioni email in corso e inietta codice maligno attraverso una rete di server Microsoft Exchange compromessi.
Le macro precedentemente utilizzate nei documenti Word sono state sostituite dagli attaccanti con ISO contenente file Windows LNK e DLL che, quando eseguiti insieme, eludono la rilevazione e vengono eseguiti silenziosamente senza che la vittima se ne accorga. Le regioni più frequentemente colpite includono i settori legale, sanitario, farmaceutico ed energetico. L’obiettivo principale è ottenere un accesso iniziale che viene poi venduto ad altri avversari.
Rilevamento malware IcedID
La più recente regola di rilevamento basata su Sigma– per individuare l’attività di evasione difensiva di IcedID è scritta dal nostro sviluppatore di Threat Bounty Osman Demir. Accedi al tuo account SOC Prime o iscriviti alla piattaforma per accedere al codice insieme a informazioni pertinenti sulle minacce informatiche:
Questo elemento di rilevamento è tradotto nei seguenti formati SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di evasione difensiva e la tecnica di esecuzione del proxy del binario firmato (T1218).
IcedID è stato documentato per la prima volta da IBM nel 2017 e da allora gli avversari hanno migliorato le loro tecniche e modifiche al malware. Puoi vedere l’elenco completo degli algoritmi di rilevamento disponibili nella piattaforma Detection as Code di SOC Prime per proteggere continuamente la tua infrastruttura contro minacce informatiche complesse. E se hai esperienza in questo campo, puoi anche contribuire a pubblicare contenuti sulla nostra piattaforma, guadagnando ricompense monetarie per rendere il mondo cibernetico un luogo più sicuro.
Visualizza Rilevamenti Unisciti a Threat Bounty
Il payload di IcedID inizia con un’email di phishing. Il messaggio esorta l’utente a scaricare e disimballare un archivio ZIP allegato che è anche protetto con un codice d’accesso fornito nel corpo del messaggio. Come abbiamo menzionato prima, questa email arriva come risposta a un thread di conversazione in corso, avendo un indirizzo mittente legittimo. Ma in realtà , si tratta di un messaggio falso da un server Microsoft Exchange compromesso.
I contenuti di un archivio ZIP maligno includono un unico file ISO, che contiene rispettivamente due file: DLL e LNK. Secondo i timestamp, il file DLL è solitamente più recente di LNK, ecco perché i ricercatori suggeriscono che i file LNK potrebbero essere utilizzati in alcune email di phishing. La DLL viene fornita con un’icona integrata che la fa sembrare un documento. Cliccandoci sopra, il loader di IcedID inizia la sua esecuzione e scarica il principale Il payload di IcedID.
Decompilando la funzione di hashing API, il loader localizza il payload, lo decripta, lo posiziona nella memoria del dispositivo ed esegue. Dopo ciò, il GZiploader di IcedID può inviare richieste a un server di comando e controllo (C&C) e ricevere risposte.
Le campagne di IcedID hanno raggiunto un nuovo livello di sofisticazione tecnica nel marzo 2022, utilizzando packer comuni e più fasi per camuffare l’attività del malware IcedID che ruba informazioni. Sfrutta la potenza della difesa collaborativa unendoti alla piattaforma Detection as Code di SOC Prime e sblocca l’accesso istantaneo ai rilevamenti più aggiornati in tempo reale.
