IceID, un nuevo troyano bancario que ya es capaz de evadir las sandbox

Anda revuelto el mercado, y más concretamente el bancario, con un troyano que promete dar mucha guerra a pesar de su juventud, o precisamente por ello. Descubierto por investigadores del equipo X-Force Research de IBM, el troyano ya es capaz de ejecutar algunos peligrosos ataques de inyección basada en web y cuenta con capacidades que se han visto en otros primos de la talla del troyano Zeus, Gozi o Dridex.

No te pierdas nuestro webinar Por una Transformación Digital Segura, porque hay que adoptar la nube, pero de forma segura, y saber en todo momento dónde están nuestros datos.

También puedes leer... Por una Transformación Digital Segura Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

Se le han descubierto técnicas y procedimientos destacados, como su capacidad para expandirse a través de la red y su capacidad de monitorizar la actividad del navegador mediante la configuración de un proxy local para crear un túnel de tráfico.

El objetivo de IceID son los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles o sites de comercio electrónico y webmail.

La forma de distribuir IceID es a través de Emotet Trojan, que es quien coloca a IceID en los sistemas. Emotet es conocido por sus campañas de spam diseñadas para simular ser mensajes de bancos, además de ser uno de los métodos de distribución de malware bancario utilizado por sofisticados grupos de hacking que operaban con QakBot y Dridex a principios de 2017.

Para mantener su persistencia, IceID crea un RunKey en el registro de los sistemas host de Windows que le permiten sobrevivir a los reinicios. Explica X-Force que IceID requiere de un reinicio completo para su total despliegue y que dicho reinicio también sirve como una manera para intentar evadir los análisis de las sandbox.

Otra de las características de IceID es que el troyano incorpora un módulo de propagación de red que le permite replicarse desde un endpoint a otro utilizando servidores.

El malware está pendiente de las URL que visita la víctima de una lista de instituciones financieras y una vez que detecta un objetivo ejecuta una webinjection que redirecciones a una web falsa de un banco que simula ser el original y que solicita al usuario una combinación de usuario y contraseña.

Para evitar la detección IceID redirecciona el tráfico al mismo tiempo que mantiene la URL correcta del banco en la barra de direcciones, lo que significa que el certificado SSL del banco original siempre se muestra.

La comunicación entre el host y el servidor de comando y control del atacante se realiza a través de SSL.