Se debe estar alerta con la aparición de 2 variantes de un peligroso malware
Múltiples expertos en ciberseguridad están alertando de ataques informáticos en los que están empleando nuevas variantes del troyano bancario IcedID, el cual se ha usado para la distribución de ransomware en los últimos años.
En concreto, los hackers están empleando 2 nuevas variantes y una de ellas parece estar conectada a Emotet. Sin embargo, son variantes más leves si se comparan con la versión principal. Esto se debe a que se han eliminado diversos elementos de funcionalidad.
Según los expertos, es probable que algún grupo de actores maliciosos esté utilizando variantes modificadas para alejar este malware de las actividades de troyanos bancarios y fraudes de este tipo. Estas variantes se centran en entregar la carga útil, probablemente, priorizando la entrega y distribución de ransomware.
Incluso, se sospecha que los desarrolladores de Emotet se asociaron con operadores de IcedID para poder expandir sus actividades delictivas, incluyendo la nueva variante ligera de IcedID. Si bien tiene funcionalidades diferentes y únicas, probablemente se estarían probando mediante infecciones existentes provocadas por Emotet.
Durante los años 2022 y 2023 se han detectado numerosos ataques, algunos cientos, del troyano IcedID, el cual ha sido relacionado con cinco actores maliciosos diferentes, según los especialistas. La mayoría de estos actores operan como intermediarios de accesos iniciales. Significa que venden accesos a redes corporativas a otros hackers, en su mayoría, pandillas de ransomware.
Si necesitas seguridad robusta y de alto nivel para los activos digitales de tu negocio, TIC Defense cuenta con múltiples productos enfocados en la prevención de amenazas. Nuestros desarrolladores crean soluciones y herramientas sofisticadas y altamente adaptables, según las necesidades y capacidades de tu empresa.
Desde el mes de febrero, especialistas en ciberseguridad han rastreado un nuevo grupo de ataque, llamado TA581, el cual emplea una variante de IcedID con una funcionalidad de estafa bancaria eliminada. Los expertos manejan la hipótesis de que se trata de un grupo facilitador de accesos iniciales, los cuales son conocidos por usar el malware Bumblebee.
Estos hackers maliciosos se sirven de señuelos relevantes para las empresas en sus campañas de correo electrónico, tales como información de los clientes, recibos de pedidos, nóminas y facturas para poder entregar una variedad de tipos de archivos o URL maliciosos. Las campañas de lanzamiento del malware IcedID emplearon archivos adjuntos de Microsoft OneNote y otros poco frecuentes, con la extensión .URL.
Por otro lado, la variante de IcedID usa la carga útil estándar que se comunica con un servidor C2, descarga un archivo DLL y después ejecuta el troyano con la funcionalidad de fraude bancario eliminada. Los investigadores observaron que esta variante no utiliza un servidor C2, en su lugar, emplea una URL estática, la cual está codificada para descargar una archivo de tipo “Bot Pack”, con el nombre botpack.dat.
Este archivo tiene en su haber la DLL del cargador que después empieza a descargar la misma versión de IceID. Hay una diferencia con esta versión, es que no extrae información sobre el equipo infectado al servidor C2, ya que no lo usa.
La investigación culmina en que los expertos, si tienen en cuenta que el código fuente de IcedID puede estar totalmente disponible para algunos hackers maliciosos, esperan ver nuevas variantes de este malware en un futuro próximo.
