David Morán 13/09/21 9 min read

Nuevas campañas de Spam con una variante de IcedID

Realizar campañas de Spam por correo electrónico es uno de los medios más utilizados por los atacantes para conseguir introducir troyanos bancarios a los usuarios. En esta ocasión vamos a hablar de una campaña que han observado los investigadores de Kaspersky en la que han encontrado mensajes escritos en inglés con archivos adjuntos ZIP o enlaces que llevaban a descargar ese tipo de archivos.

Estos archivos llevan una nueva variante del troyano bancario IcedID que actualiza la versión de 2017. El troyano es específico para Windows, en versiones anteriores se compilaba para 32 bits pero ahora se ha visto que está compilado para 32 y 64 bits para tener un mayor alcance.

Kaspersky ha revelado que se han alcanzado más de 100 detecciones por día del troyano IceID. Esta campaña de spam IcedID tiene a China como su objetivo principal, pero también se han observado campañas que han llegado a otros paises, como: India, Italia, Estados Unidos y Alemania.

 

iceidmapa

Geografía de las detecciones de descargadores de IcedID. Fuente: Kaspersky

 

Características

IcedID (Trojan-Banker.Win32.IcedID) también conocido como BokBot comparte similitudes con Emotet, un malware que inicialmente era un troyano bancario pero fue evolucionando gracias a su modularidad.

Esta nueva variante de IcedID puede detectar máquinas virtuales, esto interesa a los atacantes ya que su intención es llegar al mayor número de dispositivos posible pero donde puedan llegar a conseguir sus objetivos: obtener información bancaria de usuarios.

Otra de las características de IcedID es que utiliza inyecciones web para robar los códigos de autenticación de un solo uso, lo que permite a los ciberdelincuentes saltarse la autenticación en dos pasos y poder comprometer la cuenta bancaria del usuario. De esta forma no necesitan tener acceso a ningún otro dispositivo del usuario, con el equipo infectado es suficiente.

 

Modificaciones respecto a la versión anterior

El troyano bancario IcedID ha sido mejorado con un nuevo downloader, que envía la información que recopila del usuario, como su nombre de usuario, la MAC, o la versión de Windows que usa, al centro de comando y control. Como respuesta, éste le envía de vuelta la carga con el troyano.

Downloader-with-new-configuration

Configuración de nuevo descargador. Fuente: Kaspersky.


En versiones anteriores del troyano sobre el que escribimos hoy, el downloader se compilaba como un ejecutable x86 y contenía algunas direcciones del centro de comando y control que eran falsas para complicar el análisis de las muestras a los equipos de analistas. Mientras que en la nueva versión han compilado el ejecutable para x86-64 y además han eliminado las direcciones falsas del centro de comando y control durante su configuración.

La carga principal de IcedID ha sido modificada por los atacantes, y es que aunque aún sigue siendo distribuida como una imagen con extensión PNG, lo que contiene en realidad es un archivo PE (ejecutable portable). Los datos relacionados con el downloader se encuentran al principio en lugar de ocultar un shellcode en su interior como en la versión anterior. Sin embargo los métodos de descifrado y comunicación con el centro de mando y control siguen siendo los mismos.

El dropper obtiene la carga principal de IcedID de la imagen PNG, la descifra en memoria y ejecuta el binario. De esta forma la carga del troyano puede comenzar a utilizar las inyecciones web y a exfiltrar los datos al centro de comando y control.

También se ha visto el downloader de IcedID en ficheros Microsoft Excel que contienen macros que incluyen URLs desde las que descargan la carga útil del troyano.

 

Conclusiones

Para eludir las firmas que detectan troyanos como IcedID los atacantes realizan modificaciones en la carga útil de los malware. En este caso hemos podido ver que aunque este troyano en concreto lleva varios años en circulación, se han realizado cambios en la manera de actuar de IcedID añadiendo técnicas anti-análisis en el código para que al detectar que se está ejecutando en una máquina virtual no lleve a cabo ninguna de las actividades maliciosas que implementa.

Además dado el nivel de infecciones diarias detectadas por Kaspersky, es importante concienciar a los usuarios de que deben tener cuidado con los enlaces en los que hacen click y los archivos que descargan, ya que pueden ser víctimas de este tipo de troyano bancario.

 

Indicadores de compromiso

Algunos indicadores de compromiso que se han podido encontrar en diferentes muestras de este troyano son los hashes MD5

De archivos excel con macros.
De documentos ZIP.

 

Referencias

https://threatpost.com/spam-icedid-banking-trojan-variant/167250/

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TrojanSpy.Win32.ICEDID.BP

https://securelist.lat/campanas-de-spam-malintencionadas-que-distribuyen-troyanos-bancarios/94280/

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.