Noticias

IcedID desarrolla nuevas variantes y ya no es solo un troyano bancario

Publicado

en

Los ataques a la ciberseguridad se han convertido en la actualidad en un problema con el que cientos de empresas de todo el mundo tienen que convivir a diario. La ciberdelincuencia forma parte de nuestro día a día y los expertos en prevención de estos ataques, continúan trabajando activamente para detectar nuevos malware.

Recientemente, profesionales en ciberseguridad como la empresa estadounidense Proofpoint, han alertado de la aparición de nuevas variantes del malware bancario IcedID, empleado hasta ahora para distribuir ransomware. El malware ha cambiado su uso y funcionalidad, y ha sido empleado al menos por hasta tres grupos de ciberdelincuentes, entre los que se incluyen TA542 (Emotet) y TA551 (Shathak).

Los investigadores de Proofpoint han avanzado que existen en la actualidad múltiples campañas que llevan como protagonista a este troyano bancario y al menos cinco grupos dedicados a delitos informáticos que están distribuyéndolo. El método de empleo es una variante estándar, y son intermediarios de acceso inicial que facilitan las infecciones que conducen el malware.

Las nuevas variantes del troyano IcedID

El malware IcedID Estándar, conocido también como BokBot, es la variante más comúnmente empleada por los delincuentes informáticos. Un malware bancario que no ha cambiado desde que apareció por primera vez en 2017 como un troyano, que con la inyección de contenido no autorizado conseguía robar las credenciales bancarias online. Este troyano supone un alto riesgo para la estabilidad y representa una grave amenaza para la privacidad de los usuarios y la seguridad económica e informática.

El equipo de investigación de Proofpoint afirma que el “IcedID es un malware popular cuyo uso se ha mantenido constante hasta hace poco. Los ciberdelincuentes están invirtiendo un esfuerzo considerable en el futuro de este malware, por eso anticipamos que se sigan creando todavía más variantes diferentes”.

Aunque fue diseñado en origen para robar datos de acceso bancario, ahora desde hace un tiempo, algunos grupos de ciberdelincuencia han comenzado a emplearlo como cargador de malware adicionales por sus capacidades de fraude bancario. Así durante el pasado año 2022 y el 2023, han sido detectado ya cientos de ciberataques con el virus IcedID.

Los investigadores creen que las nuevas variantes desarrolladas, IcedID Lite y Forked, han sido modificadas para alejar el malware de la actividad típica de los troyanos y fraudes bancarios, para centrarse de este modo en la entrega de payloads para distribuir ransomware. Los estudios al respecto afirman que estas dos variantes son más leves ya que han eliminado funcionalidad de ellas.

IcedID Lite

Esta variante del malware inicial se dio a conocer por vez primera en noviembre de 2022, siendo distribuida como payload de seguimiento en una campaña de Emotet del grupo TA542. Este troyano contiene una URL estática para descargar el archivo Bot Pack con el nombre “botpack.dat” que resulta en el IcedID Lite DLL Loader, y luego entrega la versión Forked de IcedID Bot, eliminando las funcionalidades necesarias para el fraude bancario, tales como webinjects y backconnect.

IcedID Forked

La segunda variante, identificada como IcedID Forked por los profesionales, apareció en febrero de 2023 siendo distribuida por el grupo de ciberdelincuentes TA581 y un segundo grupo que aún no ha sido identificado. Desde su detección, los expertos de Proofpoint la han visto empleada hasta en siete campañas diferentes. En su propagación se emplean diferentes tipos de archivos adjuntos como documentos de Microsoft One Note o archivos .URL.

Esta variante del troyano se encuentra más próxima al IcedID Estándar ya que conecta con un servidor Loader C2 pará así poder recuperar el DLL Loader y el bot, el cual tiene elementos similares a los del Lite Loader y Forked IcedID Bot.

Lo más leído

Salir de la versión móvil