Troyano IcedID reiniciado con nuevas tácticas evasivas

Ciberatacantes han implementado varias características nuevas, incluido un archivo adjunto protegido con contraseña, ofuscación de palabras clave y código de macro minimalista, en una reciente campaña de phishing que utiliza documentos troyanos por el ampliamente utilizado troyano bancario IcedID.

La campaña, que los investigadores descubrieron en julio, también utiliza una biblioteca de enlaces dinámicos (DLL), una biblioteca de Microsoft que contiene código y datos que pueden ser utilizados por más de un programa al mismo tiempo, como su descargador de segunda etapa. Esto “muestra” un nuevo nivel de madurez de este actor de amenazas.

La última versión de IcedID identificada por el equipo de investigación de Juniper se distribuye utilizando cuentas comerciales comprometidas donde los destinatarios son clientes de las mismas empresas. Esto aumenta la probabilidad de éxito de la campaña, ya que el remitente y el destinatario ya tienen una relación comercial establecida, señaló Kimayong.

Los investigadores de IBM descubrieron IcedID por primera vez en 2017 como un troyano dirigido a bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, nómina, correo web y sitios de comercio electrónico.

El malware ha evolucionado a lo largo de los años y ya tiene un historial de ofuscación inteligente. Por ejemplo, resurgió durante la campaña COVID-19 con una nueva funcionalidad que usa esteganografía, o la práctica de ocultar código dentro de las imágenes para infectar a las víctimas de manera sigilosa, así como otras mejoras.

El informe de Kimayong detalla un ejemplo de la nueva campaña IcedID y sus tácticas evasivas de un compromiso de PrepNow.com , una empresa privada de tutoría para estudiantes a nivel nacional que opera en varios estados de EE. UU.

Los atacantes enviaron correos electrónicos de phishing, que afirman incluir una factura, a posibles víctimas. Pretendían ser del departamento de contabilidad, con un archivo ZIP protegido con contraseña adjunto. Esta protección con contraseña permite que el archivo evite las soluciones anti-malware, señaló. La contraseña se incluye en el cuerpo del correo electrónico para que las víctimas la encuentren y utilicen para abrir el archivo.

La campaña es novedosa en la forma en que confunde la palabra «adjunto» de varias formas en el correo electrónico, escribió Kimayong. Parece poco probable que los atacantes hagan esto para intentar eludir los filtros de spam o la detección de phishing, ya que la presencia de un archivo adjunto es obvia, señaló.

«En todo caso, esperábamos que la ofuscación ofuscara la palabra ‘contraseña’ porque es una señal reveladora de que algo está sucediendo», escribió Kimayong. «Por otra parte, modificar el cuerpo del correo electrónico ligeramente puede cambiar algunos hashes difusos que las soluciones de seguridad del correo electrónico calculan para identificar campañas de correo electrónico masivo».

La campaña también incluyó un comportamiento curioso en el sentido de que rota el nombre del archivo utilizado para el archivo adjunto dentro del archivo ZIP, lo que parece un intento «inútil» de evadir las protecciones de seguridad, «ya que la protección con contraseña debería evitar que la mayoría de las soluciones de seguridad abran e inspeccionen el contenido”, observó.

No importa, el correo electrónico no fue bloqueado por la seguridad de Gmail de Google, lo que parece probar que las tácticas de evasión funcionaron, según el informe.

Si las víctimas abren el archivo adjunto, la campaña lanza un ataque en tres etapas para desatar el troyano IcedID, escribió Kimayong.

El archivo ZIP expandido es un documento de Microsoft Word que contiene una macro que se ejecuta al abrir el documento, con «el habitual intento de ingeniería social de conseguir que las víctimas habiliten las macros», escribió. «Una vez que las macros están habilitadas, el script de VB descargará una DLL, la guardará como PDF y la instalará como un servicio usando regsvr32 para garantizar la persistencia».

Esta etapa también muestra cómo los atacantes están siendo «minimalistas» en el uso del código macro, que «es muy simple y directo» a pesar de que todavía logra ofuscar cadenas y llamadas a funciones para evadir la detección, escribió Kimayong.

La segunda etapa del ataque descarga la DLL de 3wuk8wv [.] Com o 185.43.4 [.] 241, un sitio alojado en un proveedor de alojamiento en Siberia, Rusia. Una vez descargada, la DLL maliciosa se guarda como un archivo PDF y luego la macro la ejecuta mediante una llamada a regsvr32.exe, según el informe.

La DLL descarga la siguiente etapa del ataque desde el dominio loadhnichar [.] Co como un archivo PNG y lo descifra, escribió Kimayong. Esta etapa del ataque también tiene tácticas evasivas, señaló.

“Este cargador combina su tráfico con solicitudes a dominios benignos, como apple.com, twitter.com, microsoft.com, etc. para parecer más benigno a los sandboxes que intentan analizarlo”, escribió Kimayong.

La tercera etapa finalmente descarga el módulo principal IcedID como un archivo PNG, genera un proceso msiexec.exe e inyecta el módulo principal IcedID en él.