Realizar campañas de Spam por correo electrónico es uno de los medios más utilizados por los atacantes para conseguir introducir troyanos bancarios a los usuarios. En esta ocasión vamos a hablar de una campaña que han observado los investigadores de Kaspersky en la que han encontrado mensajes escritos en inglés con archivos adjuntos ZIP o enlaces que llevaban a descargar ese tipo de archivos.
Estos archivos llevan una nueva variante del troyano bancario IcedID que actualiza la versión de 2017. El troyano es específico para Windows, en versiones anteriores se compilaba para 32 bits pero ahora se ha visto que está compilado para 32 y 64 bits para tener un mayor alcance.
Kaspersky ha revelado que se han alcanzado más de 100 detecciones por día del troyano IceID. Esta campaña de spam IcedID tiene a China como su objetivo principal, pero también se han observado campañas que han llegado a otros paises, como: India, Italia, Estados Unidos y Alemania.
Geografía de las detecciones de descargadores de IcedID. Fuente: Kaspersky
Características
IcedID (Trojan-Banker.Win32.IcedID) también conocido como BokBot comparte similitudes con Emotet, un malware que inicialmente era un troyano bancario pero fue evolucionando gracias a su modularidad.
Esta nueva variante de IcedID puede detectar máquinas virtuales, esto interesa a los atacantes ya que su intención es llegar al mayor número de dispositivos posible pero donde puedan llegar a conseguir sus objetivos: obtener información bancaria de usuarios.
Otra de las características de IcedID es que utiliza inyecciones web para robar los códigos de autenticación de un solo uso, lo que permite a los ciberdelincuentes saltarse la autenticación en dos pasos y poder comprometer la cuenta bancaria del usuario. De esta forma no necesitan tener acceso a ningún otro dispositivo del usuario, con el equipo infectado es suficiente.
Modificaciones respecto a la versión anterior
El troyano bancario IcedID ha sido mejorado con un nuevo downloader, que envía la información que recopila del usuario, como su nombre de usuario, la MAC, o la versión de Windows que usa, al centro de comando y control. Como respuesta, éste le envía de vuelta la carga con el troyano.
Configuración de nuevo descargador. Fuente: Kaspersky.
En versiones anteriores del troyano sobre el que escribimos hoy, el downloader se compilaba como un ejecutable x86 y contenía algunas direcciones del centro de comando y control que eran falsas para complicar el análisis de las muestras a los equipos de analistas. Mientras que en la nueva versión han compilado el ejecutable para x86-64 y además han eliminado las direcciones falsas del centro de comando y control durante su configuración.
La carga principal de IcedID ha sido modificada por los atacantes, y es que aunque aún sigue siendo distribuida como una imagen con extensión PNG, lo que contiene en realidad es un archivo PE (ejecutable portable). Los datos relacionados con el downloader se encuentran al principio en lugar de ocultar un shellcode en su interior como en la versión anterior. Sin embargo los métodos de descifrado y comunicación con el centro de mando y control siguen siendo los mismos.
El dropper obtiene la carga principal de IcedID de la imagen PNG, la descifra en memoria y ejecuta el binario. De esta forma la carga del troyano puede comenzar a utilizar las inyecciones web y a exfiltrar los datos al centro de comando y control.
También se ha visto el downloader de IcedID en ficheros Microsoft Excel que contienen macros que incluyen URLs desde las que descargan la carga útil del troyano.
Conclusiones
Para eludir las firmas que detectan troyanos como IcedID los atacantes realizan modificaciones en la carga útil de los malware. En este caso hemos podido ver que aunque este troyano en concreto lleva varios años en circulación, se han realizado cambios en la manera de actuar de IcedID añadiendo técnicas anti-análisis en el código para que al detectar que se está ejecutando en una máquina virtual no lleve a cabo ninguna de las actividades maliciosas que implementa.
Además dado el nivel de infecciones diarias detectadas por Kaspersky, es importante concienciar a los usuarios de que deben tener cuidado con los enlaces en los que hacen click y los archivos que descargan, ya que pueden ser víctimas de este tipo de troyano bancario.
Indicadores de compromiso
Algunos indicadores de compromiso que se han podido encontrar en diferentes muestras de este troyano son los hashes MD5
De archivos excel con macros.- 042b349265bbac709ff2cbddb725033b
- 054532b8b2b5c727ed8f74aabc9acc73
- 1237e85fe00fcc1d14df0fb5cf323d6b
- 3e12880c20c41085ea5e249f8eb85ded
De documentos ZIP.
Referencias
https://threatpost.com/spam-icedid-banking-trojan-variant/167250/
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TrojanSpy.Win32.ICEDID.BP
https://securelist.lat/campanas-de-spam-malintencionadas-que-distribuyen-troyanos-bancarios/94280/
