Hackers do TA551 Espalham Trojan IcedID em Nova Onda de Campanha Malspam

[post-views]
Janeiro 20, 2021 · 4 min de leitura
Hackers do TA551 Espalham Trojan IcedID em Nova Onda de Campanha Malspam

A partir de julho de 2020, os pesquisadores de segurança observaram mudanças notáveis implementadas na rotina de malspam TA551 (também conhecido como Shathak). Os atores da ameaça por trás da campanha TA551 mudaram da distribuição de Ursnif e Valak para infecções do trojan bancário IcedID.

Visão Geral do TA551

TA551 é uma campanha de malspam duradoura que surgiu em fevereiro de 2019. Inicialmente, estava focada em entregar o trojan bancário Ursnif (Gozi/Gozi-ISFB) para vítimas de língua inglesa. No entanto, no final de 2019, os pesquisadores observaram Valak e IcedID sendo regularmente recuperados como malware de segunda etapa. O público também se expandiu ao longo de 2019, visando vítimas alemãs, italianas e japonesas. Em 2020, TA551 abandonou Ursnif e se concentrou no carregador Valak. TA551 promoveu exclusivamente Valak até julho de 2020, com o malware ZLoader (Terdot, DELoader) raramente sendo entregue. Finalmente, no segundo trimestre de 2020, TA551 mudou para a propagação do trojan bancário IcedID.

A rotina maliciosa do TA551 depende das cadeias de e-mails falsificadas usadas como isca. Essas cadeias de e-mail são obtidas de hosts Windows comprometidos anteriormente e depois enviadas para os destinatários originais. Os e-mails de malspam exibem um texto convincente pedindo à vítima para extrair um arquivo ZIP anexado e protegido por senha. Caso a vítima seja enganada, o arquivo mostra um documento Word com macro. Uma vez ativados, os macros soltam o instalador DLL no PC comprometido, que por sua vez baixa a carga final maliciosa.

Mudança de Valak para IcedID

A partir de meados de julho de 2020, os pesquisadores de segurança identificaram a campanha de malspam TA551 distribuindo exclusivamente o trojan bancário IcedID. A primeira onda de infecções mirou apenas usuários de língua inglesa. Então, em 27 de outubro de 2020, os operadores do TA551 mudaram para modelos de documentos Word em japonês, visando continuamente usuários japoneses por mais de três semanas. Em novembro de 2020, o malspam voltou a focar no público de língua inglesa. Notavelmente, o malware IcedID foi frequentemente entregue como carga subsequente por Ursnif e Valak. E apenas no segundo trimestre de 2020, os hackers do TA551 decidiram se concentrar no IcedID como carga de primeira etapa.

O que é malware IcedID?

IcedID (também conhecido como BokBot) é um trojan bancário modular projetado para roubar dados bancários e credenciais de máquinas alvo. Detectado pela primeira vez em 2017, o IcedID estava principalmente focado nos provedores bancários dos EUA e fornecedores de telecomunicações. Inicialmente, o trojan foi entregue pelo Emotet, mas novos padrões de distribuição foram adquiridos com o tempo. O principal método de infecção permanece o mesmo, sendo um malspam contendo arquivos Word com macro.

O ladrão de informações IcedID possui uma vasta gama de capacidades maliciosas acompanhadas de funcionalidades sofisticadas de evasão. O trojan esconde sua configuração com a ajuda da técnica de esteganografia, aplicando simultaneamente recursos anti-VM e anti-depuração. Após a infecção e obtenção de persistência, o malware se propaga por toda a rede comprometida, monitorando toda a atividade no PC e conduzindo ataques de man-in-the-browser. Esses ataques seguem três etapas, incluindo injeção na web, configuração de proxy e redirecionamento. Essa abordagem permite que o IcedID engane as vítimas por meio de engenharia social, roube seus dados bancários e ignore a autenticação multifator ao obter acesso a contas bancárias.

Detecção do TA551

Para melhorar suas capacidades de defesa proativa contra a campanha de malspam TA551, baixe uma regra Sigma gratuita lançada por Joseph Kamau no Mercado de Detecção de Ameaças:

https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Microsoft Defender ATP, Carbon Black

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa

Técnicas: Execução de Proxy Binário Assinado (T1218)

Obtenha uma assinatura gratuita no Mercado de Detecção de Ameaças e alcance mais conteúdo SOC curado compatível com a maioria das plataformas SIEM, EDR, NTDR e SOAR. Entusiasmado para contribuir com as atividades de caça às ameaças? Junte-se ao nosso programa de recompensas de ameaças e compartilhe suas próprias regras Sigma com a comunidade SOC Prime.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias