A campanha IcedID está de volta com novas táticas de ofuscação

Durante a pandemia de coronavírus, vários desenvolvedores e operadores de malware tentaram maneiras inovadoras de atualizar seu arsenal e aprimorar seus ataques. Ultimamente, os operadores do trojan bancário IcedID, também conhecido como BokBot, também trabalharam para aprimorar suas técnicas de ofuscação.

Últimas descobertas

Foi descoberto que os operadores IcedID agora estão usando anexos de e-mail protegidos por senha, ofuscação de palavra-chave e código de macro simples para evitar a detecção.

  • A nova campanha de ataque usa e-mails de spam que parecem vir do departamento de contabilidade de empresas conhecidas.
  • Os e-mails vêm com um arquivo zip protegido por senha. A proteção por senha foi projetada para evitar que o software de análise antimalware descriptografe e analise os recursos maliciosos ocultos.
  • O corpo do e-mail contém a senha necessária para abrir o arquivo zip. O conteúdo é elaborado de forma a ajudar a contornar filtros de spam ou sistemas de detecção de phishing.
  • Este arquivo contém um documento malicioso do Word com macros projetadas para baixar o malware. Portanto, parte do truque é convencer os usuários a habilitar macros no Microsoft Office.

O truque da DLL

Para evitar ainda mais a detecção por soluções anti-malware, o trojan IceID usa uma biblioteca de vínculo dinâmico (DLL) como parte de sua carga útil de segundo estágio.

  • O arquivo DLL malicioso é baixado de um endereço IP localizado na Rússia. Esse arquivo malicioso também é salvo como PDF para manter a persistência.
  • Quando o segundo estágio é executado, ele baixa o módulo principal IcedID como um arquivo PNG, gera um processo msiexec.exe e injeta o cavalo de Tróia nele.

Incidentes recentes

  • Em meados de junho de 2020, uma nova versão do trojan IcedID foi encontrada se espalhando pelos EUA, aproveitando a pandemia COVID-19 e a Lei de Licença Médica e Familiar (FMLA) como tema.
  • Em maio, o malware Valak foi visto colaborando com os malwares IcedID e Ursnif, para entidades-alvo nos EUA e Alemanha.

Conclusão

Os desenvolvedores do trojan IcedID têm se esforçado continuamente na evolução desse malware. E por esse motivo óbvio, eles estão ansiosos para capitalizar seus esforços, obtendo lucros por meio de credenciais bancárias roubadas. Para se defender contra isso, recomenda-se que as equipes de segurança estejam atentas a campanhas de malspam, vigiem seus ativos financeiros e empreguem ferramentas de segurança eficazes para detectar e bloquear essas ameaças de malware.

Fonte: https://cyware.com/news/icedid-campaign-is-back-with-new-obfuscation-tactics-c3e828a7