Malware IcedID Sequestra Conversas de E-mail e Entrega Carga Útil Inédita
Um aumento súbito na atividade de sequestro de e-mails IcedID foi identificado por pesquisadores de segurança. IcedID, também conhecido como BokBot está operando desde 2017. Uma evolução gradual levou este malware de ser um trojan bancário comum para um payload sofisticado que sequestra conversas de e-mail em andamento e injeta código malicioso através de uma rede de servidores Microsoft Exchange comprometidos.
Os macros anteriormente usados em documentos do Word foram substituídos pelos atacantes por ISO contendo arquivos LNK e DLL do Windows que, quando executados juntos, evitam detecção e se executam silenciosamente sem que a vítima esteja ciente. As regiões mais frequentemente visadas incluem os setores jurídico, de saúde, farmacêutico e de energia. O objetivo principal é obter o acesso inicial que depois é vendido para outros adversários.
Detecção de Malware IcedID
A última regra de detecção baseada em Sigmapara identificar a atividade de evasão de defesa do IcedID é escrita pelo nosso desenvolvedor do Threat Bounty Osman Demir. Entre em sua conta da SOC Prime ou cadastre-se na plataforma para acessar o código junto com informações relevantes de inteligência sobre ameaças cibernéticas:
Evasão de Defesa IcedID (Bokbot) Suspeita por Execução DLL com regsvr32.exe (via processo_criação)
Este item de detecção é traduzido nos seguintes formatos de SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
A regra está alinhada com o último framework MITRE ATT&CK® v.10, abordando a tática de evasão de defesa e a técnica de Execução de Proxy de Binário Assinado (T1218).
O IcedID foi documentado pela primeira vez pela IBM em 2017 e desde então, os adversários vêm aprimorando suas técnicas e modificações de malware. Você pode ver a lista abrangente de algoritmos de detecção disponíveis na plataforma Detection as Code da SOC Prime para proteger continuamente sua infraestrutura contra ameaças cibernéticas complexas. E se você possui expertise nesta área, também pode contribuir para publicar conteúdo em nossa plataforma, ganhando recompensas monetárias por tornar o mundo cibernético um lugar mais seguro.
Ver Detecções Junte-se ao Threat Bounty
O envio de payload IcedID começa com um e-mail de phishing. A mensagem solicita que o usuário baixe e descompacte um arquivo ZIP anexado que também está protegido com uma senha fornecida no corpo da mensagem. Como mencionamos antes, este e-mail vem como uma resposta a um fio de conversa em andamento, tendo o endereço de remetente legítimo. Mas, na realidade, esta é uma mensagem falsificada de um servidor Microsoft Exchange comprometido.
O conteúdo de um arquivo ZIP malicioso inclui um único arquivo ISO, que, respectivamente, contém dois arquivos: DLL e LNK. De acordo com os timecodes, o arquivo DLL geralmente é mais novo que o LNK, por isso pesquisadores sugerem que arquivos LNK possam ser usados em alguns e-mails de phishing. A DLL vem com um ícone incorporado que faz parecer um documento. Ao clicar nele, o carregador IcedID inicia sua execução e baixa o principal O envio de payload IcedID.
Ao descompilar a função de hashing da API, o carregador localiza o payload, o descriptografa, coloca na memória do dispositivo e o executa. Depois disso, o IcedID GZiploader pode enviar solicitações para um servidor de comando e controle (C&C) e receber respostas.
Campanhas IcedID ganharam um novo nível de sofisticação técnica em março de 2022, utilizando empacotadores comuns e múltiplos estágios para disfarçar a atividade do malware IcedID para roubo de informações. Aproveite o poder da defesa colaborativa juntando-se à plataforma Detection as Code da SOC Prime e desbloqueie acesso instantâneo às detecções mais atualizadas.
