Detecção do Botnet IcedID: Ataques de Malvertising Abusando de Anúncios Google Pay-Per-Click (PPC)
Índice:
No final de dezembro de 2022, pesquisadores de cibersegurança observaram uma nova explosão de atividades maliciosas distribuindo o notável botnet IcedID. Nesta campanha adversária em andamento, atores de ameaça abusam de anúncios do Google pay-per-click (PPC) para espalhar a nova variante de malware rastreada como TrojanSpy.Win64.ICEDID.SMYXCLGZ.
Detectando Infecções do Botnet IcedID Através de Malvertising
Considerando que o botnet IcedID está constantemente evoluindo, adicionando novos truques ao seu conjunto de ferramentas maliciosas, profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar proativamente potenciais ataques. Para garantir que os defensores cibernéticos estejam bem armados contra a ameaça em evolução, a Plataforma Detection as Code da SOC Prime agrega um conjunto de regras Sigma por nossos ágeis desenvolvedores do Threat Bounty Kaan Yeniyol, Emir Erdogan, e Nattatorn Chuensangarun cobrindo as últimas campanhas dos operadores do botnet IcedID.
Todo o conteúdo de detecção é compatível com mais de 25 soluções SIEM, EDR, BDP e XDR e está mapeado para o framework MITRE ATT&CK® v12 abordando as táticas de Evasão de Defesa e Execução e as correspondentes técnicas de Execução de Proxy de Binário do Sistema (T1218) e Interpretador de Comando e Scripts (T1059).
Junte-se ao nosso Programa Threat Bounty para monetizar seu conteúdo de detecção exclusivo enquanto codifica seu futuro CV e aprimora habilidades de engenharia de detecção. Publicado no maior mercado de detecção de ameaças do mundo e explorado por 8.000 organizações globalmente, suas regras Sigma podem ajudar a detectar ameaças emergentes e tornar o mundo um lugar mais seguro enquanto garante lucros financeiros recorrentes.
Até o momento, a Plataforma SOC Prime agrega uma variedade de regras Sigma detectando ferramentas e técnicas de ataque associadas ao malware IcedID. Clique no botão Explorar Detecções para verificar os últimos algoritmos de detecção acompanhados pelas referências ATT&CK correspondentes, links de inteligência de ameaças e outros metadados relevantes.
Distribuição do Botnet IcedID: Análise de Ataque de Malvertising
O botnet IcedID está no centro das atenções na arena de ameaças cibernéticas desde 2017, representando um risco significativo para organizações devido à constante evolução e sofisticação de suas variantes. O IcedID é capaz de entregar outras cargas maliciosas, incluindo Cobalt Strike e outras cepas maliciosas.
Usado anteriormente como um Trojan bancário também conhecido como BankBot ou BokBot e projetado para roubar dados financeiros e credenciais bancárias, o malware evoluiu para uma carga útil mais avançada utilizando o sequestro de e-mail para comprometer servidores Microsoft Exchange em abril de 2022. No mesmo mês, o malware IcedID também foi utilizado em ataques cibernéticos que visavam órgãos estatais ucranianos de acordo com o alerta correspondente do CERT-UA.
Nas últimas campanhas adversárias espalhando o botnet IcedID, os pesquisadores de cibersegurança da Trend Micro descobriram mudanças marcantes nos métodos de distribuição do malware. Atores de ameaça aplicam a técnica de malvertising, que envolve o sequestro de palavras-chave selecionadas de motores de busca para mostrar anúncios maliciosos usados como iscas para enganar usuários comprometidos a baixar o malware. Nos ataques de malvertising em andamento, adversários aproveitam os populares anúncios do Google pay-per-click (PPC) que permitem a empresas exibir o produto ou serviço anunciado para um amplo público-alvo navegando via um motor de busca Google. Distribuidores do IcedID espalham malware utilizando páginas da web clonadas de empresas legítimas ou aplicativos amplamente utilizados para atrair usuários de Anúncios PPC do Google.
Notavelmente, em 21 de dezembro de 2022, o Federal Bureau of Investigation (FBI) emitiu um anúncio público alertando os defensores cibernéticos sobre os crescentes volumes de campanhas de malvertising, nas quais atacantes se passam por marcas via anúncios de motores de busca para roubar credenciais de login e outros dados financeiros.
De acordo com a pesquisa da Trend Micro, distribuidores do IcedID sequestram palavras-chave de motores de busca aplicadas por uma ampla gama de marcas e aplicativos populares para mostrar anúncios maliciosos, incluindo Adobe, Discord, Fortinet, Slack, Teamviewer e mais. A cadeia de infecção começa com a distribuição de um carregador, seguida pela obtenção de um núcleo de bot e, finalmente, pela entrega de uma carga útil maliciosa. Na última campanha de distribuição do IcedID, o carregador é distribuído usando um arquivo MSI, o que é incomum para outros ataques que espalham o botnet IcedID.
Como medidas de mitigação potenciais que podem ser tomadas para minimizar os riscos de ataques de malvertising, os defensores cibernéticos recomendam aplicar bloqueadores de anúncios, utilizar serviços de proteção de domínio e aumentar a conscientização sobre cibersegurança em relação aos riscos do uso de sites falsificados.
Para frustrar os ataques crescentes de malvertising, os defensores cibernéticos devem adotar a abordagem proativa de cibersegurança para identificar de forma oportuna a presença de malware no ambiente da organização. Ganhe acesso instantâneo a regras Sigma exclusivas para a detecção de ataques de malvertising e explore contextos relevantes de ameaças cibernéticas, como referências ATT&CK e CTI, binários executáveis, mitigações e mais metadados acionáveis para uma pesquisa de ameaças simplificada.
