Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Troyano bancario IcedID: ¿el nuevo Emotet?


Una campaña de phishing vía correo electrónico generalizada que utiliza archivos adjuntos maliciosos de Microsoft Excel y macros de Excel 4 está entregando IcedID en grandes volúmenes, lo que sugiere que está llenando el vacío de Emotet. También se utiliza para desplegar algunas variantes de ransomware.



IcedID (también conocido como BokBot), tiene similitudes con Emotet en que es un malware modular nacido como un troyano bancario utilizado para robar información financiera. Sin embargo, cada vez más, se utiliza como cuentagotas para otro malware, anotaron los investigadores, al igual que Emotet.

Mapa zonas activas recibiendo campañas IcedID (Abril 2021)


Según Ashwin Vamshi y Abhijit Mohanta, investigadores de Uptycs, el malware está circulando a velocidades cada vez mayores, gracias a una ola de campañas de correo electrónico que utilizan archivos adjuntos de hojas de cálculo de Microsoft Excel.

Crecimiento IcedID

De hecho, en los primeros tres meses del año, la telemetría Uptyc reportó más de 15,000 solicitudes HTTP de más de 4,000 documentos maliciosos, la mayoría de los cuales (93%) eran hojas de cálculo de Microsoft Excel que usaban las extensiones .XLS o .XLS. .XLSM .



Maldoc: Macros Excel 4.0

Si está abierto, se le pedirá a los destinos que «habiliten el contenido» para ver el mensaje. Habilitar el contenido permite que se ejecuten las fórmulas macro integradas de Excel 4.

«.XLSM admite la incrustación de fórmulas macro de Excel 4.0 utilizadas en las celdas de la hoja de cálculo de Excel», según un análisis publicado el miércoles. «Los atacantes aprovechan esta funcionalidad para incrustar comandos arbitrarios, que generalmente descargan una carga útil maliciosa de la URL utilizando las fórmulas del documento». Las URL generalmente pertenecen a sitios web legítimos pero pirateados, agregaron.

Al profundizar en la actividad, pudieron ver similitudes entre todos los ataques, lo que sugiere una campaña coordinada. Por ejemplo, todos los documentos recibieron nombres básicos relacionados con el negocio, como «caducado», «reclamo» o «reclamo y reclamo», junto con una serie aleatoria de números. Además, todas las solicitudes HTTP entregaron un archivo ejecutable de segunda etapa (un archivo .EXE o .DLL), ofuscado con una extensión falsa: .DAT, .GIF o .JPG.



De hecho, los archivos eran las familias de malware IcedID o QakBot.

Desde la perspectiva de la detección de evasiones, las macros también utilizaron tres técnicas para permanecer ocultas: «Después de una investigación, identificamos tres técnicas interesantes que se utilizan para dificultar el análisis», anotaron los investigadores. "Ocultar fórmulas macro en tres hojas diferentes; enmascare la fórmula macro con un carácter blanco sobre un fondo blanco; y reducir el contenido de la celda y hacer invisible el contenido original. «




Emotet, que se empaquetaba en una media de 100.000 o medio millón de correos electrónicos al día hasta su pausa en enero, llevó a Europol a llamarlo «el malware más peligroso del mundo».

Emotet se usa a menudo como un cargador de primera etapa, con la tarea de recuperar e instalar cargas útiles de malware secundario, incluidos Qakbot, Ryuk ransomware y TrickBot. Sus operadores a menudo alquilan su infraestructura a otros ciberdelincuentes en un modelo de malware como servicio (MaaS).

Operation LadyBird, un intento de eliminación global a principios de este año, cerró cientos de servidores de botnets compatibles con Emotet y eliminó las infecciones activas en más de 1 millón de terminales en todo el mundo. El malware nunca ha experimentado un resurgimiento real desde entonces, dejando un vacío en el mercado de la ciberdelincuencia en lo que respecta a las opciones de inicio de sesión inicial.

El volumen de muestras de IcedID que circulaban llevó a los investigadores de Uptycs a creer que era un candidato probable para convertirse en el nuevo Emotet.

«Sobre la base de esta tendencia creciente, creemos que IcedID surgirá como una encarnación de Emotet después de su interrupción», señalaron Vamshi y Mohanta. «Se informó recientemente que IcedID implementó operaciones de ransomware, cambiando a un modelo MaaS para distribuir malware».

«IcedID, Emotet y muchas otras cepas de malware comparten algunos elementos que facilitan evitar que afecten una infraestructura», dijo a Threatpost Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies. "Pueden ser sofisticados en la forma en que se esconden en un documento de oficina, sin embargo, este es solo el primer paso en la cadena de infección. IcedID no es diferente de los demás, ya que también intenta descargar, eliminar, complementos. Para estos dos primeros pasos, monitorear el estado del sistema es fundamental, verificando los cambios que ocurren en cualquier dispositivo.


Fuentes:

https://www.uptycs.com/blog/icedid-campaign-spotted-being-spiced-with-excel-4-macros

https://aaqeel01.wordpress.com/2021/04/09/icedid-analysis/

https://www.binarydefense.com/icedid-gziploader-analysis/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.