Troyano bancario IcedID evidenciado en fuerte campaña de correo electrónico

Una campaña de correo electrónico generalizada que utiliza archivos adjuntos maliciosos de Microsoft Excel y macros de Excel 4 está entregando el troyano IcedID en grandes volúmenes, lo que ha dado pie a investigadores para sugerir que está llenando el vacío de Emotet.

IcedID

IcedID o también conocido como BokBot, es un troyano bancario descubierto en 2017. En sus inicios se destacó por ser un punto de entrada maligno para que los actores motivados financieramente lleven a cabo operaciones de intrusión.

Qakbot e IcedID generalmente se distribuyen a través de señuelos de correo electrónico que contienen documentos de Office maliciosos como archivo adjunto. Los ejecutables de la siguiente etapa (PE - EXE / DLL) se descargan a través de sitios web comprometidos con extensiones falsas.

Inicios del troyano bancario

Los investigadores de IBM descubrieron IcedID por primera vez en 2017 como un troyano dirigido a bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, correo web y sitios de comercio electrónico.

El malware ha evolucionado a lo largo de los años y ya tiene un historial de ofuscación inteligente. Así fue como resurgió durante la campaña COVID-19 con una nueva práctica de ocultar código dentro de las imágenes para infectar a las víctimas de manera sigilosa.

Se pudo evidenciar en sus últimas campañas de 2020 que los operadores de IcedID estaban utilizando archivos adjuntos de correo electrónico protegidos con contraseña, ofuscación de palabras clave y código de macro simple para evadir la detección, basando su campañas principalmente en acciones de Phishing.

¿IcedID como sucesor de Emotet?

Como suele suceder en el panorama de amenazas, los grupos y actores del malware pasan por etapas de actividad e inactividad dependiendo de distintos factores.

En enero evidenciamos una operación que llevó a cabo la caída e interrupción de las campañas de Emotet. Este vacío que deja Emotet, genera el escenario perfecto para que otros malware ocupen su lugar y ya se está hablando que IcedID podría hacerlo.

Esto debido a que IcedID comparte similitudes con Emotet en ser un malware modular que comenzó como un troyano bancario pero que con el paso del tiempo fue evolucionando hasta llegar a ser puente o conexión con otros malwares.

Principal vector

El equipo de investigación de amenazas de Uptycs ha observado una campaña de IcedID en curso que utiliza en gran medida documentos XLSM de Microsoft Excel con macros de Excel 4 y técnicas para dificultar el análisis.

¿Qué es un archivo XLSM?

Los archivos XLSM son en realidad idénticos a los archivos XLSX (Microsoft Excel Open XML Format Spreadsheet) con la única diferencia de que los archivos XLSM ejecutarán macros incrustadas que se programan en el lenguaje Visual Basic for Applications (VBA), por lo que los archivos XLSM tienen el potencial de almacenar y ejecutar código malicioso destructivo a través de macros. Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento.

Nota Importante: "Las macros de los archivos XLSM no se ejecutan de forma predeterminada porque Excel las desactiva“.

Campaña de correo electrónico

Los equipos de investigación han podido observar en los últimos meses las siguientes evidencias de la campaña de IcedID:

• En un lapso de tres meses, se han observado más de 15.000 solicitudes HTTP de documentos maliciosos, la mayoría de las cuales eran hojas de cálculo de Microsoft Excel.
• El 93% de estos documentos de Office maliciosos evidenciados pertenecen a un archivo de hoja de cálculo de Microsoft Excel con extensiones XLS o XLSM.
• La solicitud HTTP de los documentos maliciosos consistió en un archivo ejecutable de segunda etapa (PE - EXE / DLL) con una extensión falsa dat, jpg y gif.
• Las extensiones falsas fueron la carga útil de la segunda etapa de las familias de malware Qakbot e IcedID.
• Con base en esta tendencia creciente, se cree podría reemplazar a Emotet después de su disrupción.
• IcedID también sería capaz de implementar operaciones de ransomware.
• Este malware estaría en condiciones de avanzar hacia un modelo de malware como servicio (MaaS) para distribuir malware.

Panorama

Dada la situación actual y el exponencial crecimiento que ha tenido el troyano bancario IcedID en el último tiempo, es bastante probable que sigamos escuchando su nombre en el panorama de amenazas, esto puesto que, como mencionamos anteriormente el malware tiene un gran parecido con el desaparecido Emotet. 

Dicha situación lo hace ser hoy en día visto como el posible sucesor de Emotet, ya que investigaciones lo muestra como un malware capaz de abrir las puertas para la infección de otros malware.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.