Troyano IcedID circula a través de formularios web y URL de Google

Los formularios de contacto de sitios web y algunas URL de Google se están utilizando para difundir el troyano IcedID, según investigadores de Microsoft. ”Los atacantes están usando formularios de contacto en sitios web para enviar correos electrónicos dirigidos a organizaciones con amenazas legales inventadas”, anunciaron los investigadores responsables de la investigación.  Los mensajes mencionan […]

Los formularios de contacto de sitios web y algunas URL de Google se están utilizando para difundir el troyano IcedID, según investigadores de Microsoft.

”Los atacantes están usando formularios de contacto en sitios web para enviar correos electrónicos dirigidos a organizaciones con amenazas legales inventadas”, anunciaron los investigadores responsables de la investigación. 

Los mensajes mencionan constantemente una infracción de derechos de autor por parte de un fotógrafo, ilustrador o diseñador, y contienen un enlace a supuestas “pruebas” de estas infracciones legales. Pero el enlace en realidad conduce a una página de Google que descarga IcedID (también conocido como BokBot), que es un ladrón de información y cargador de otro malware.

“A medida que los atacantes completan y envían el formulario basado en web, se genera un mensaje de correo electrónico para el destinatario del formulario de contacto asociado o la empresa objetivo, que contiene el mensaje generado por el atacante”, según la publicación reciente de Microsoft . 

“El mensaje utiliza un lenguaje fuerte y urgente (‘Descárguelo ahora mismo y compruébelo usted mismo’), presionando al destinatario para que actúe de inmediato, lo que finalmente obliga a los destinatarios a hacer clic en los enlaces para evitar una supuesta acción legal”.

Los investigadores encontraron que los atacantes usaban nombres falsos que comienzan con “Mel”, como “Melanie” o “Meleena”, y usaban un formato estándar para sus direcciones de correo electrónico falsas que incluyen “m”, palabras asociadas con fotografías y números de tres dígitos; es decir, mphotographer550@yahoo.com o megallery736@aol.com.

Los enlaces llevan a las víctimas a una página sites.google.com, que les pide que inicien sesión. Una vez que una persona inicia sesión, la página descarga automáticamente un archivo .ZIP malicioso, que cuando se descomprime contiene un archivo .JS muy ofuscado, dijeron los investigadores. Microsoft explicó que el archivo .JS se ejecuta a través de WScript y que crea un objeto de shell que, a su vez, inicia PowerShell y descarga la carga útil IcedID en forma de archivo .DAT.

El archivo también contiene una baliza Cobalt Strike en forma de DLL sin etapas, que le da a los atacantes el control remoto de la máquina de la víctima. Cobalt Strike es una herramienta de prueba de penetración que envía balizas para detectar vulnerabilidades de la red. Cuando se utiliza para el propósito previsto,  simula un ataque ; sin embargo, los actores de amenazas han descubierto desde entonces cómo  ponerlo en contra de las redes .

El análisis muestra que el archivo .DAT descargado se carga a través del ejecutable rundll32, que luego lanza varios comandos de recopilación de información. Entre ellos se incluyen la obtención de información antivirus; obtener información de IP, dominio y sistema; y eliminar SQLite para acceder a las credenciales bancarias y otras almacenadas en las bases de datos del navegador.

“Cuando se ejecuta, IcedID se conecta a un servidor de comando y control (C2) para descargar módulos que ejecutan su función principal de capturar y filtrar credenciales bancarias y otra información”, según Microsoft. “Logra la persistencia a través de tareas programadas. También descarga implantes como Cobalt Strike y otras herramientas, que permiten a los atacantes remotos ejecutar actividades maliciosas en el sistema comprometido, incluida la recopilación de credenciales adicionales, moverse lateralmente y entregar cargas útiles secundarias “.

La campaña también utiliza una cadena de ataque secundaria, dijeron los investigadores, en caso de que se elimine la página sites.google.com.

“En la cadena secundaria, los usuarios son redirigidos a un dominio superior, mientras acceden inadvertidamente a una página de contenido de usuario de Google, que descarga el archivo .ZIP malicioso”, explicaron. “Un análisis más detallado revela que los formularios contienen enlaces maliciosos sites.google.com que descargan el malware IcedID”.