24 de junho de 2026

A campanha IcedID está de volta com novas táticas de ofuscação

24 de agosto de 2020

Durante a pandemia de coronavírus, vários desenvolvedores e operadores de malware tentaram maneiras inovadoras de atualizar seu arsenal e aprimorar seus ataques. Ultimamente, os operadores do trojan bancário IcedID, também conhecido como BokBot, também trabalharam para aprimorar suas técnicas de ofuscação.

A campanha IcedID está de volta com novas táticas de ofuscação

Últimas descobertas

Foi descoberto que os operadores IcedID agora estão usando anexos de e-mail protegidos por senha, ofuscação de palavra-chave e código de macro simples para evitar a detecção.

  • A nova campanha de ataque usa e-mails de spam que parecem vir do departamento de contabilidade de empresas conhecidas.
  • Os e-mails vêm com um arquivo zip protegido por senha. A proteção por senha foi projetada para evitar que o software de análise antimalware descriptografe e analise os recursos maliciosos ocultos.
  • O corpo do e-mail contém a senha necessária para abrir o arquivo zip. O conteúdo é elaborado de forma a ajudar a contornar filtros de spam ou sistemas de detecção de phishing.
  • Este arquivo contém um documento malicioso do Word com macros projetadas para baixar o malware. Portanto, parte do truque é convencer os usuários a habilitar macros no Microsoft Office.

O truque da DLL

Para evitar ainda mais a detecção por soluções anti-malware, o trojan IceID usa uma biblioteca de vínculo dinâmico (DLL) como parte de sua carga útil de segundo estágio.

  • O arquivo DLL malicioso é baixado de um endereço IP localizado na Rússia. Esse arquivo malicioso também é salvo como PDF para manter a persistência.
  • Quando o segundo estágio é executado, ele baixa o módulo principal IcedID como um arquivo PNG, gera um processo msiexec.exe e injeta o cavalo de Tróia nele.

Incidentes recentes

  • Em meados de junho de 2020, uma nova versão do trojan IcedID foi encontrada se espalhando pelos EUA, aproveitando a pandemia COVID-19 e a Lei de Licença Médica e Familiar (FMLA) como tema.
  • Em maio, o malware Valak foi visto colaborando com os malwares IcedID e Ursnif, para entidades-alvo nos EUA e Alemanha.

Conclusão

Os desenvolvedores do trojan IcedID têm se esforçado continuamente na evolução desse malware. E por esse motivo óbvio, eles estão ansiosos para capitalizar seus esforços, obtendo lucros por meio de credenciais bancárias roubadas. Para se defender contra isso, recomenda-se que as equipes de segurança estejam atentas a campanhas de malspam, vigiem seus ativos financeiros e empreguem ferramentas de segurança eficazes para detectar e bloquear essas ameaças de malware.

Fonte: https://cyware.com/news/icedid-campaign-is-back-with-new-obfuscation-tactics-c3e828a7

Matérias Relacionadas

img1

Pacotes maliciosos no npm se passam por utilitários PostCSS e instalam RAT em Windows

23 de junho de 2026
CSIS botnet warrant Canada IoT

CSIS executa primeiro mandado canadense de redução de ameaças e limpa botnets em roteadores e IoT no país

22 de junho de 2026
Ilustracao de credenciais vazadas em base Elasticsearch

Base Elasticsearch exposta com 24 bilhoes de credenciais e 8,3 TB de logs de infostealer revela mercado industrial de roubo de senhas alimentado por Telegram

21 de junho de 2026

Veja mais..

img3

Suposto ataque cibernético dispara alertas falsos da Defesa Civil em cinco estados e tira sistema federal do ar

23 de junho de 2026
img2

Dois membros do Scattered Spider se declaram culpados pelo ataque cibernético à Transport for London

23 de junho de 2026
img1

Pacotes maliciosos no npm se passam por utilitários PostCSS e instalam RAT em Windows

23 de junho de 2026
DCOM lateral movement Windows detection

DCOM como vetor de movimentação lateral no Windows: o walkthrough técnico que todo SOC precisa ler antes do próximo alerta

23 de junho de 2026
Plugged Ninja AI launch

Plugged Ninja AI: estreia a nossa vertical especializada em Inteligência Artificial com cobertura prática e foco no Brasil

22 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com