A campanha IcedID está de volta com novas táticas de ofuscação

Últimas descobertas

Foi descoberto que os operadores IcedID agora estão usando anexos de e-mail protegidos por senha, ofuscação de palavra-chave e código de macro simples para evitar a detecção.

• A nova campanha de ataque usa e-mails de spam que parecem vir do departamento de contabilidade de empresas conhecidas.
• Os e-mails vêm com um arquivo zip protegido por senha. A proteção por senha foi projetada para evitar que o software de análise antimalware descriptografe e analise os recursos maliciosos ocultos.
• O corpo do e-mail contém a senha necessária para abrir o arquivo zip. O conteúdo é elaborado de forma a ajudar a contornar filtros de spam ou sistemas de detecção de phishing.
• Este arquivo contém um documento malicioso do Word com macros projetadas para baixar o malware. Portanto, parte do truque é convencer os usuários a habilitar macros no Microsoft Office.

O truque da DLL

Para evitar ainda mais a detecção por soluções anti-malware, o trojan IceID usa uma biblioteca de vínculo dinâmico (DLL) como parte de sua carga útil de segundo estágio.

• O arquivo DLL malicioso é baixado de um endereço IP localizado na Rússia. Esse arquivo malicioso também é salvo como PDF para manter a persistência.
• Quando o segundo estágio é executado, ele baixa o módulo principal IcedID como um arquivo PNG, gera um processo msiexec.exe e injeta o cavalo de Tróia nele.

Incidentes recentes

• Em meados de junho de 2020, uma nova versão do trojan IcedID foi encontrada se espalhando pelos EUA, aproveitando a pandemia COVID-19 e a Lei de Licença Médica e Familiar (FMLA) como tema.
• Em maio, o malware Valak foi visto colaborando com os malwares IcedID e Ursnif, para entidades-alvo nos EUA e Alemanha.

Conclusão

Os desenvolvedores do trojan IcedID têm se esforçado continuamente na evolução desse malware. E por esse motivo óbvio, eles estão ansiosos para capitalizar seus esforços, obtendo lucros por meio de credenciais bancárias roubadas. Para se defender contra isso, recomenda-se que as equipes de segurança estejam atentas a campanhas de malspam, vigiem seus ativos financeiros e empreguem ferramentas de segurança eficazes para detectar e bloquear essas ameaças de malware.

Fonte: https://cyware.com/news/icedid-campaign-is-back-with-new-obfuscation-tactics-c3e828a7