Campaña IcedID está de vuelta con nuevas tácticas de ofuscación

Los operadores del troyano bancario IcedID, también conocido como BokBot o Qbot, han estado trabajando para mejorar sus técnicas de ofuscación. La nueva versión del troyano se está extendiendo rápidamente y ya ha cobrado 100.000 víctimas en todo el mundo, ha descubierto Check Point. Los ataques atribuidos al troyano Qbot, conocido como la “navaja suiza” […]

Los operadores del troyano bancario IcedID, también conocido como BokBot o Qbot, han estado trabajando para mejorar sus técnicas de ofuscación.

La nueva versión del troyano se está extendiendo rápidamente y ya ha cobrado 100.000 víctimas en todo el mundo, ha descubierto Check Point. Los ataques atribuidos al troyano Qbot, conocido como la “navaja suiza” del malware, están aumentando con un total de 100.000 infecciones recientes, según investigadores.

El malware de 12 años resurgió en enero de 2020, según los investigadores de F5, que publicaron un informe en junio detallando las nuevas funciones evasivas de Qbot para evitar la detección .

“Supusimos que la campaña se detuvo [después de junio] para permitir que los responsables de QBot realizaran un mayor desarrollo de malware, pero no imaginamos que regresaría tan rápido”, escribió Alex Ilgayev, el investigador de Check Point detrás del informe.

Últimos descubrimientos

Se ha descubierto que los operadores de IcedID ahora están utilizando archivos adjuntos de correo electrónico protegidos con contraseña, ofuscación de palabras clave y código de macro simple para evadir la detección.

• La nueva campaña de ataque utiliza correos electrónicos no deseados que supuestamente provienen del departamento de contabilidad de empresas conocidas.
  
• Los correos electrónicos vienen con un archivo zip adjunto protegido con contraseña. La protección con contraseña está diseñada para evitar que el software de análisis anti-malware descifre y analice las capacidades maliciosas ocultas.
  
• El cuerpo del correo electrónico contiene la contraseña necesaria para abrir el archivo zip. El contenido está diseñado de una manera que ayuda a evitar los filtros de spam o los sistemas de detección de phishing.
  
• Este archivo contiene un documento de Word malicioso con macros diseñadas para descargar el malware. Entonces, parte del truco consiste en convencer a los usuarios de que habiliten macros en Microsoft Office.

El truco de DLL

Para esquivar aún más la detección mediante soluciones anti-malware, el troyano IceID utiliza una biblioteca de vínculos dinámicos (DLL) como parte de su carga útil de segunda etapa.

El archivo DLL malicioso se descarga desde una dirección IP ubicada en Rusia. Este archivo malicioso también se guarda como PDF para mantener la persistencia.

Cuando se ejecuta la segunda etapa, descarga el módulo principal IcedID como un archivo PNG, genera un proceso msiexec.exe e inyecta el troyano en él.