Gli hacker TA551 diffondono il Trojan IcedID in una nuova ondata di campagne malspam
Indice:
A partire da luglio 2020 i ricercatori di sicurezza osservano notevoli cambiamenti implementati alla routine malspam TA551 (alias Shathak). Gli attori della minaccia dietro la campagna TA551 hanno cambiato dalla distribuzione di Ursnif e Valak all’infezione del banking Trojan IcedID.
Panoramica di TA551
TA551 è una campagna malspam di lunga durata emersa a febbraio 2019. Inizialmente, era focalizzata sulla distribuzione del banking Trojan Ursnif (Gozi/Gozi-ISFB) alle vittime di lingua inglese. Tuttavia, alla fine del 2019, i ricercatori hanno osservato Valak e IcedID regolarmente recuperati come malware di secondo stadio. Anche il pubblico si è ampliato durante il 2019 prendendo di mira vittime tedesche, italiane e giapponesi. Nel 2020, TA551 ha abbandonato Ursnif e si è concentrata sul loader Valak. TA551 ha promosso esclusivamente Valak fino a luglio 2020, con il malware ZLoader (Terdot, DELoader) raramente diffuso. Infine, nel Q2 2020, TA551 si è spostata sulla propagazione del banking Trojan IcedID.
La routine maliziosa di TA551 si basa sulle catene di email falsificate utilizzate come esca. Queste catene di email vengono recuperate da host Windows compromessi precedenti e quindi inviate ai destinatari originali. Le email malspam mostrano un testo convincente che chiede alla vittima di estrarre un archivio ZIP protetto da password allegato. Se la vittima viene ingannata, l’archivio apre un file Word con macro integrate. Una volta abilitate, le macro rilasciano l’installer DLL sul PC compromesso, che a sua volta scarica il carico malevolo finale.
Passaggio da Valak a IcedID
A partire dalla metà di luglio 2020, i ricercatori hanno identificato la campagna malspam TA551 che distribuisce esclusivamente il banking Trojan IcedID. La prima ondata di infezioni ha preso di mira esclusivamente gli utenti di lingua inglese. Poi, il 27 ottobre 2020, gli operatori TA551 sono passati ai modelli di documenti Word in giapponese, continuando a mirare agli utenti giapponesi per più di tre settimane. Nel novembre 2020, il malspam è nuovamente rivolto al pubblico di lingua inglese. È significativo che il malware IcedID fosse frequentemente fornito come carico utile di follow-up da Ursnif e Valak. Solo nel Q2 2020 i hacker TA551 hanno deciso di concentrarsi su IcedID come carico utile di primo livello.
Cos’è il malware IcedID?
IcedID (noto anche come BokBot) è un banking Trojan modulare progettato per rubare dati bancari e credenziali dalle macchine mirate. Rilevato per la prima volta nel 2017, IcedID era principalmente focalizzato sui fornitori di servizi bancari e sui vendor di telecomunicazioni negli Stati Uniti. Inizialmente, il Trojan veniva distribuito da Emotet, ma nel tempo furono acquisiti nuovi schemi di distribuzione. Il metodo principale di infezione rimane lo stesso, essendo un malspam contenente file Word con macro integrate.
IcedID, il ladro di informazioni, ha una vasta gamma di capacità malevole accompagnate da funzionalità sofisticate di evasione. Il Trojan nasconde la sua configurazione con l’aiuto della tecnica di steganografia, applicando contemporaneamente funzionalità anti-VM e anti-debugging. Una volta infettato e ottenuta la persistenza, il malware si propaga attraverso la rete compromessa, monitorando tutte le attività sul PC e conducendo attacchi man-in-the-browser. Tali attacchi seguono tre fasi, tra cui iniezione web, configurazione del proxy e reindirizzamento. Questo approccio consente a IcedID di ingannare le vittime tramite ingegneria sociale, rubare i loro dettagli bancari e bypassare l’autenticazione a più fattori ottenendo l’accesso ai conti bancari.
Rilevazione TA551
Per migliorare le tue capacità di difesa proattiva contro la campagna malspam TA551, scarica una regola Sigma gratuita rilasciata da Joseph Kamau sul Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
Tattiche: Esecuzione, Evasione delle difese
Tecniche: Esecuzione di Proxy Binari Firmati (T1218)
Ottieni un abbonamento gratuito al Threat Detection Marketplace e accedi a più contenuti SOC curati compatibili con la maggior parte delle piattaforme SIEM, EDR, NTDR e SOAR. Desideroso di contribuire alle attività di caccia alla minaccia? Unisciti al nostro programma Threat Bounty e condividi le tue regole Sigma con la comunità di SOC Prime.
