IcedID Utiliza Métodos de Entrega Inovadores, Aumenta Significativamente Taxas de Infecção
Índice:
Índice Global de Ameaças da Check Point Research de Março de 2021 revela que os operadores do trojan bancário IcedID estão entrando no grande jogo. No mês passado, o IcedID foi incluído no Índice pela primeira vez, assumindo imediatamente o segundo lugar logo após o infame Dridex. Um aumento nas infecções e notoriedade é explicado pelos métodos inovadores de entrega que os operadores do IcedID aplicam para alcançar novos patamares. Especialistas em segurança acreditam que tal construção de capacidade rápida é impulsionada pelo desejo de substituir a recentemente interrompida botnet Emotet na arena maliciosa.
Trojan Bancário IcedID
IcedID (também conhecido como BokBot) é um trojan bancário modular capaz de roubar dados financeiros e atuar como um carregador para amostras de malware de segunda fase. Após seu surgimento em setembro de 2017, o malware tem sido usado em várias campanhas maliciosas direcionadas a bancos, provedores de cartões de pagamento, fornecedores de telecomunicações e sites de e-commerce nos EUA. Inicialmente, o trojan IcedID era entregue pelo Emotet, mas novos métodos de entrega foram obtidos ao longo do tempo.
O ladrão de informações IcedID tem uma ampla funcionalidade maliciosa que permite seus operadores a despejar credenciais de login para sessões de banco online, assumir contas bancárias, e automatizar transações fraudulentas. Particularmente, ao infectar, o malware se propaga através da rede comprometida, monitorando toda a atividade no PC e conduzindo ataques man-in-the-browser. Esses ataques seguem três estágios, incluindo injeção web, configuração de proxy e redirecionamento. Esta abordagem permite que o IcedID engane as vítimas através de engenharia social e bypass da autenticação multifator enquanto ganha acesso às contas bancárias. Para passar despercebido enquanto realiza as ações maliciosas, o IcedID esconde sua configuração com a ajuda da técnica de esteganografia, aplicando simultaneamente recursos anti-VM e anti-depuração.
Notadamente, além de realizar a funcionalidade de roubo de dados, o malware está sendo cada vez mais usado como um carregador de segunda fase. Especialistas em segurança acreditam que a ameaça está se movendo em direção a um modelo de malware-como-serviço (MaaS), com vários ransomwares já sendo entregues nas campanhas do IcedID.
Novos Métodos de Entrega
Após a interrupção da botnet Emotet em janeiro de 2021, os mantenedores do IcedID começaram a diversificar o método de entrega para aumentar as taxas de infecção. No mês passado, pesquisadores de segurança da Uptycs identificaram uma nova campanha de IcedID abusando do suporte xlsm para fórmulas Macros do Excel 4.0 nas células da planilha. Especificamente, os adversários aproveitam esse recurso para incorporar o código arbitrário e baixar os executáveis maliciosos via URLs. Ao longo dos últimos três meses, os especialistas da Uptycs identificaram mais de 15K solicitações HTTP de documentos maliciosos, a maioria dos quais eram planilhas Microsoft Excel com uma extensão.
Além disso, em abril de 2021, a Microsoft revelou um método de entrega ainda mais incomum para o Trojan IcedID. Na última campanha, os operadores de malware aproveitaram formulários de contato de sites para atingir empresas de vários tamanhos. Os atacantes abusaram desses formulários para enviar e-mails forjados sobre uma suposta ameaça legal. Particularmente, o e-mail informava sobre uma infração de direitos autorais e continha uma URL maliciosa levando a uma página do Google. Caso um usuário fosse enganado a seguir este link, a página baixaria um arquivo ZIP malicioso com um arquivo JS fortemente ofuscado dentro. Ao extrair, o arquivo JS era executado via WScript para baixar a carga final do IcedID.
Detecção de IcedID
Para ficar à frente dos métodos inovadores de infecção do notório Trojan IcedID, você pode baixar regras Sigma personalizadas lançadas por nosso prolífico desenvolvedor de Threat Bounty Osman Demir.
IcedID (BokBot) de Arquivo JS Compactado
Campanha de IcedID Visto sendo Apimentada com Macros Excel 4
Campanha de Malspam Despeja IcedID e Leva ao Ransomware REvil
Além disso, você pode conferir a lista completa de detecções de IcedID disponível no Threat Detection Marketplace.
Obtenha uma assinatura gratuita de nossa plataforma Detection as Code para impulsionar suas capacidades de defesa cibernética e reduzir o tempo de detecção de ataques. Nossa biblioteca de conteúdo SOC, pioneira na indústria, agrega 100K+ regras, analisadores e consultas de busca mapeadas para os frameworks CVE e MITRE ATT&CK®. Mais de 300 colaboradores enriquecem a biblioteca diariamente para permitir a detecção contínua das ameaças cibernéticas mais alarmantes. Ansioso para contribuir para as iniciativas de caça às ameaças e criar suas próprias regras Sigma? Participe do nosso Programa de Threat Bounty!
