Expertos en ciberseguridad han alertado de ciberataques en los que se están utilizando dos nuevas variantes de IcedID, un troyano bancario que se ha utilizado para distribuir ransomware en los últimos años.
Las dos nuevas variantes, una de las cuales parece estar conectada a la botnet Emotet, son más leves en comparación con la estándar ya que se ha eliminado cierta funcionalidad. Según apuntan los expertos de Proofpoint, «es probable que un grupo de actores de amenazas esté utilizando variantes modificadas para alejar el malware de la actividad típica de troyanos bancarios y fraudes bancarios».
De esta forma, se centran en la entrega de carga útil, lo que probablemente incluye priorizar la entrega de ransomware. Además, sospechan que los desarrolladores iniciales de Emotet se han asociado con los operadores de IcedID para expandir sus actividades, incluido el uso de la nueva variante Lite de IcedID. Esta tiene una funcionalidad diferente y única que probablemente estarían probando a través de infecciones existentes de Emotet.
IcedID apareció por primera vez en 2017 y en su origen era un troyano diseñado para robar credenciales bancarias online mediante la inyección de contenido no autorizado en las sesiones de navegación locales-
Desde entonces, y hasta el año pasado, el código base del troyano se mantuvo prácticamente sin cambios. Sin embargo, algunos grupos de ciberdelincuentes empezaron a utilizarlo en los últimos años por su capacidad para servir como un cargador de malware adicionales por sus capacidades de fraude bancario.
Durante 2022 y 2023, se han detectado cientos de ciberataques con el troyano IcedID que los expertos han relacionado con cinco actores de amenazas distintos, la mayoría de los cuales operan como intermediarios de acceso inicial. Esto significa que venden acceso a redes corporativas a otros ciberdelincuentes, generalmente bandas de ransomware.
IcedID y sus variantes
Desde febrero, Proofpoint ha rastreado un nuevo grupo, TA581, que utiliza una variante de IcedID con la funcionalidad de fraude bancario eliminada. Se cree que este grupo es un facilitador de acceso inicial también conocido por utilizar el malware Bumblebee.
Estos ciberdelincuentes utilizan señuelos relevantes para el negocio en sus campañas de correo electrónico, como nóminas, información de clientes, facturas y recibos de pedidos para entregar una variedad de tipos de archivos o URL maliciosos.
Las campañas IcedID utilizaron archivos adjuntos de Microsoft OneNote y otros más inusuales con la extensión ‘.URL’.
Por su parte, la variante de IcedID utiliza la carga útil estándar que se comunica con un servidor C2 para descargar una DLL y luego la versión del troyano IcedID con la funcionalidad eliminada.
Los investigadores observaron otra variante de IcedID, a la que denominan Lite, que no usa un servidor C2 y en su lugar usa utiliza una URL estática codificada para descargar un archivo «Bot Pack» con el nombre botpack.dat. Este archivo contiene la DLL del cargador que luego descarga la misma versión del bot IcedID. La diferencia con esta versión es que tampoco extrae información sobre la máquina infectada al servidor C2 al no utilizarlo.
La variante Lite se observó en noviembre como una carga útil de Emotet, una botnet que también se usa como plataforma de entrega de malware y se considera una de las principales amenazas de este año. Proofpoint atribuye Emotet al grupo denominado TA542. No obstante, no está claro si esta variante la creó este grupo o si la utiliza uno de sus clientes.
Para estos expertos, teniendo en cuenta que código base de IcedID parece estar disponible para algunos de los ciberdelincuentes, esperan ver nuevas variantes de este malware en el futuro.
