Surgimientos del troyano bancario IcedID: ¿el nuevo Emotet? - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Surgimientos del troyano bancario IcedID: ¿el nuevo Emotet?

Hola, ¿qué tal colega?. Yo soy Eduardo Arroyo y hoy te voy a contar sobre Surgimientos del troyano bancario IcedID: ¿el nuevo Emotet?

Surgimientos del troyano bancario IcedID: ¿el nuevo Emotet?

Una campaña de correo electrónico generalizada que utiliza archivos adjuntos maliciosos de Microsoft Excel y macros de Excel 4 está entregando IcedID en grandes volúmenes, lo que sugiere que está llenando el vacío de Emotet.

Según los investigadores, el troyano bancario conocido como IcedID parece tomar el lugar del troyano Emotet recientemente descontinuado.

IcedID (también conocido como BokBot), tiene similitudes con Emotet en que es un malware modular nacido como un troyano bancario utilizado para robar información financiera. Sin embargo, cada vez más, se utiliza como cuentagotas para otro malware, anotaron los investigadores, al igual que Emotet.

Según Ashwin Vamshi y Abhijit Mohanta, investigadores de Uptycs, el malware está circulando a velocidades cada vez mayores, gracias a una ola de campañas de correo electrónico que utilizan archivos adjuntos de hojas de cálculo de Microsoft Excel.

De hecho, en los primeros tres meses del año, la telemetría Uptyc reportó más de 15,000 solicitudes HTTP de más de 4,000 documentos maliciosos, la mayoría de los cuales (93%) eran hojas de cálculo de Microsoft Excel que usaban las extensiones .XLS o .XLS. .XLSM .

Si está abierto, se le pedirá a los destinos que «habiliten el contenido» para ver el mensaje. Habilitar el contenido permite que se ejecuten las fórmulas macro integradas de Excel 4.

«.XLSM admite la incrustación de fórmulas macro de Excel 4.0 utilizadas en las celdas de la hoja de cálculo de Excel», según un análisis publicado el miércoles. «Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento». Las URL generalmente pertenecen a sitios web legítimos pero pirateados, agregaron.

Al profundizar en la actividad, pudieron ver similitudes entre todos los ataques, lo que sugiere una campaña coordinada. Por ejemplo, todos los documentos recibieron nombres básicos relacionados con el negocio, como «caducado», «reclamo» o «reclamo y reclamo», junto con una serie aleatoria de números. Además, todas las solicitudes HTTP entregaron un archivo ejecutable de segunda etapa (un archivo .EXE o .DLL), ofuscado con una extensión falsa: .DAT, .GIF o .JPG.

De hecho, los archivos eran las familias de malware IcedID o QakBot.

Desde la perspectiva de la detección de evasiones, las macros también utilizaron tres técnicas para permanecer ocultas: «Después de una investigación, identificamos tres técnicas interesantes que se utilizan para dificultar el análisis», anotaron los investigadores. “Ocultar fórmulas macro en tres hojas diferentes; enmascare la fórmula macro con un carácter blanco sobre un fondo blanco; y reducir el contenido de la celda y hacer invisible el contenido original. «

Emotet, que se empaquetaba en una media de 100.000 o medio millón de correos electrónicos al día hasta su pausa en enero, llevó a Europol a llamarlo «el malware más peligroso del mundo».

Emotet se usa a menudo como un cargador de primera etapa, con la tarea de recuperar e instalar cargas útiles de malware secundario, incluidos Qakbot, Ryuk ransomware y TrickBot. Sus operadores a menudo alquilan su infraestructura a otros ciberdelincuentes en un modelo de malware como servicio (MaaS). Sin emabargo,

Operation LadyBird, un intento de eliminación global a principios de este año, cerró cientos de servidores de botnets compatibles con Emotet y eliminó las infecciones activas en más de 1 millón de terminales en todo el mundo. El malware nunca ha experimentado un resurgimiento real desde entonces, dejando un vacío en el mercado de la ciberdelincuencia en lo que respecta a las opciones de inicio de sesión inicial.

El volumen de muestras de IcedID que circulaban llevó a los investigadores de Uptycs a creer que era un candidato probable para convertirse en el nuevo Emotet.

«Sobre la base de esta tendencia creciente, creemos que IcedID surgirá como una encarnación de Emotet después de su interrupción», señalaron Vamshi y Mohanta. «Se informó recientemente que IcedID implementó operaciones de ransomware, cambiando a un modelo MaaS para distribuir malware».

La buena noticia es que las empresas tienen la capacidad de protegerse de estos famosos troyanos.

«IcedID, Emotet y muchas otras cepas de malware comparten algunos elementos que facilitan evitar que afecten una infraestructura», dijo a Threatpost Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies. “Pueden ser sofisticados en la forma en que se esconden en un documento de oficina, sin embargo, este es solo el primer paso en la cadena de infección. IcedID no es diferente de los demás, ya que también intenta descargar, eliminar, complementos. Para estos dos primeros pasos, monitorear el estado del sistema es fundamental, verificando los cambios que ocurren en cualquier dispositivo.

.

No te olvides compartir en tus redes sociales para que tus amigos lo flipen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *