Malware IcedID

IcedID (alias BokBot) es una cepa relativamente nueva de malware descubierta por primera vez en 2017 que se clasifica como troyano bancario y troyano de acceso remoto (RAT). Se considera que tiene capacidades comparables a otros troyanos bancarios sofisticados como Zeus, Gozi y Dridex. IcedID es un malware de segunda fase que depende de otro malware de primera fase, como Emotet, para obtener el acceso inicial y desplegarse. Además de robar la información financiera de las víctimas, IcedID sirve a menudo como lanzador de otro malware de segunda fase, incluido el ransomware, y tiene capacidades avanzadas para moverse lateralmente a través de una red.

IcedID es utilizado principalmente por los actores de la amenaza Shatak (alias TA551) para su empresa criminal de malware como servicio (MaaS). Las infecciones por IcedID suelen ser instaladas por el famoso malware de primera fase Emotet o por una de las mayores redes de bots de malspam del mundo, la red de bots de malspam Cutwail. Aunque no figura en la lista de las diez principales cepas de malware de CISA para 2021, IcedID se considera una amenaza avanzada que se actualiza con frecuencia con técnicas evasivas novedosas y avanzadas.

Los actores de la amenaza Shatak suelen utilizar correos electrónicos de phishing para propagar IcedID a través de adjuntos de documentos de Microsoft Office cargados de macros, archivos .iso o archivos .zip cifrados. Tras la infección, la carga útil inicial de IcedID enumera el sistema host de destino para determinar la ruta de infección más eficaz. La carga útil inicial busca un punto de inyección sigiloso para instalarse con persistencia y luego espera a que el sistema se reinicie antes de iniciar su módulo principal. Al esperar a que se reinicie el sistema, IcedID garantiza un mayor grado de ocultación, apareciendo como un proceso legítimo cada vez que se reinicia el sistema.

IcedID utiliza una combinación de técnicas de segunda fase, entre las que se incluyen:

• Utiliza un enfoque "living off the land" (LOTL) para recopilar información sobre el sistema de destino utilizando herramientas nativas de Windows.
• Aprovecha la utilidad Windows Management Instrumentation (WMI) para detectar antivirus y otro software de seguridad instalado en el sistema de destino y ajusta su estrategia para aumentar su probabilidad de éxito.
• Abusa de la función WMI en Windows para interactuar con sistemas locales o remotos para el descubrimiento y el movimiento lateral a través de los recursos compartidos de archivos de dominio de Active Directory (AD).
• Utiliza múltiples métodos de inyección para secuestrar aplicaciones legítimas y eludir la detección.
• Establece la persistencia a través de varios métodos, incluyendo tareas programadas y Ru
• Engancha varias funciones de la interfaz de programación de aplicaciones (API) para inyectarse en las bibliotecas de vínculos dinámicos (DLL) existentes en el sistema.
• Importa otras cepas de malware, incluidos ransomware y herramientas de hacking como Cobalt Strike.
• Importa archivos DLL empaquetados y altamente ofuscados que pueden ejecutarse en lugar de los archivos DLL nativos de Windows en una técnica conocida como "secuestro de DLL".
• Almacena sus archivos de configuración y cargas útiles como blobs cifrados y utiliza otros tipos de archivos, como PNG o ICO, para ocultar las cargas útiles.
• Inyecta comandos en el proceso del Instalador de Windows (msiexec.exe) para enmascarar su ejecución de comandos como una aplicación MSI típica.

Las capacidades de robo de IcedID utilizan un ataque de inyección web "man-in-the-browser" muy eficaz para infectar las principales aplicaciones de navegador, lo que permite al atacante ver la actividad en línea de la víctima, robar directamente la información de inicio de sesión o redirigir las solicitudes de carga de páginas de las víctimas a sitios web maliciosos que se hacen pasar por aplicaciones web legítimas populares de banca y finanzas en línea. De este modo, se engaña a las víctimas de IcedID para que faciliten sus credenciales de acceso a la banca online, que posteriormente se utilizan para realizar transacciones fraudulentas.

IcedID es una cepa de malware que evoluciona rápidamente, y sus desarrolladores buscan constantemente nuevas técnicas de ataque para mejorar las capacidades de ocultación y evasión de IcedID. Un programa holístico de ciberseguridad a nivel empresarial proporciona las mejores garantías contra una amenaza de este tipo. Una organización puede reducir sus posibilidades de convertirse en víctima de IcedID tomando las precauciones adecuadas.

Estas son las formas más eficaces de defenderse contra un ataque IcedID:

• Instale y configure productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.
• Realización periódica de análisis de vulnerabilidades y pruebas de penetración de toda la infraestructura de red y corrección de cualquier vulnerabilidad descubierta lo antes posible.
• Imponer la autenticación multifactor para todos los servicios críticos, especialmente la banca en línea y las cuentas de criptomoneda.
• Reconocer el mayor riesgo que presentan los archivos cifrados y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente configuración
• Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los puestos finales y analice periódicamente en busca de software no autorizado y bloquee su ejecución.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.
• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.