Un nuevo troyano bancario llamado IcedID (detectado por Trend Micro como TSPY_EMOTET.SMD3, TSPY_EMOTET.SMD4 y TSPY_EMOTET.AUSJMY), detectado por investigadores en septiembre pasado, ha causado estragos entre las instituciones financieras de EE. UU., Reino Unido y Canadá, incluidos bancos, pagos proveedores de tarjetas, proveedores de servicios móviles y sitios de comercio electrónico. El impacto del troyano bancario aún no está claro, pero los informes iniciales muestran que su impacto aún es limitado en el momento de la publicación.
El análisis inicial del troyano revela que su método de entrega se realiza a través de la infraestructura de botnet de otro troyano conocido como EMOTET . En este caso, la botnet se está utilizando como una plataforma de entrega de malware, similar a los ataques anteriores en los que dejó caer el troyano DRIDEX como carga útil . Una vez que IcedID esté en el sistema infectado, llevará a cabo sus ataques a través de la redirección y la inyección web. El malware también contiene un módulo de propagación de red que le da la capacidad de moverse, no solo a otros puntos finales, sino posiblemente también a servidores terminales.
La etapa inicial del ataque de IcedID comienza cuando descarga un archivo de configuración que contiene los objetivos del troyano desde su servidor C&C, que se activa cuando el usuario abre un navegador web. En particular, utiliza la inyección web para ataques que involucran portales bancarios en línea y técnicas de redireccionamiento para tarjetas de pago y sitios de correo web.
Para su rutina de redireccionamiento, IcedID configura un proxy local que se ejecuta en el puerto 49157 que intercepta y canaliza el tráfico web, que luego se exfiltra al servidor C&C. El esquema de redireccionamiento intenta parecer lo más legítimo posible al mostrar la URL legítima del banco en la barra de direcciones, así como su certificado SSL correcto, todo ello a través de una conexión en vivo con el sitio del banco real. A continuación, se solicita a los usuarios que envíen sus credenciales en la página falsa, que se envían al servidor del atacante. Luego, se utilizan tácticas de ingeniería social para engañar a la víctima para que brinde información aún más confidencial, incluidos los detalles de autorización que se pueden usar para comprometer las cuentas de los usuarios.
IcedID comparte algunas similitudes con otros troyanos bancarioscomo Zeus y Gozi (detectado por Trend Micro como ZBOT Family), así como DRIDEX, con características comunes como el uso de técnicas de redirección y inyección web en su rutina. A pesar de las similitudes, el análisis de IceID muestra que no parece tomar prestado código de otros troyanos bancarios, lo que significa que no se basa en troyanos existentes, sino que es un nuevo malware por derecho propio. También es probable que IceID vea una mayor evolución de sus características a medida que sus autores lo desarrollen. Un defecto del troyano IcedID es que aparentemente carece de técnicas anti-máquina virtual (VM) y anti-investigación, lo que significa que puede ser detenido por soluciones de seguridad multicapa. Conjuntos de protección inteligente Trend Micro ™ y Worry-Free ™ Business Security
puede proteger a los usuarios y las empresas de estas amenazas detectando archivos maliciosos y mensajes de spam, así como bloqueando todas las URL maliciosas relacionadas. Trend Micro Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de URL y archivos adjuntos maliciosos.
Las organizaciones que necesitan una solución de seguridad integral pueden buscar Trend Micro ™ OfficeScan ™ con XGen ™ endpoint security infunde aprendizaje automático de alta fidelidad con otras tecnologías de detección e inteligencia de amenazas global para una protección integral contra malware avanzado.
