El malware IcedID vuelve en campañas masivas de spam
- Actualidad
Proofpoint ha informado de la aparición de campañas maliciosas masivas, de más de 6.000 mensajes, que utilizan la variante Forked del malware IcedID y se atribuyen al grupo TA571, especializado en campañas a gran escala.
En febrero de 2023, Proofpoint identificó por primera vez el malware IcedID. Desde entonces, había observado su variante Forked, que elimina su funcionalidad bancaria en un reducido número de campañas. Ahora la compañía informa de su reaparición a gran escala, con varias campañas maliciosas de más de 6.000 mensajes cada una que se lanzaron en el mes de octubre.
Los ataques masivos de IcedID Forked se dirigieron a más de 1.200 clientes de la compañía, de diferentes sectores y en todo el mundo. Proofpoint atribuye las campañas al grupo TA571, que realiza esas campañas masivas de spam para instalar una variedad de malware para clientes delictivos. Un ejemplo de crimen como servicio.
En este caso, se utilizaba la técnica de secuestro de hilos de correo (thread hijacking), en la que se envían mensajes en respuesta a conversaciones existentes, pero con direcciones URL 404 TDS (sistema de distribución de tráfico) que llevan a la descarga de un archivo Zip, protegido por una contraseña que se envía en el mismo mensaje. El sistema incluso incluye comprobaciones para validar al destinatario antes de darle acceso al archivo Zip, lo que no solo sirve para recabar datos, sino que le da una apariencia de legitimidad. El Zip contiene un script VBS; al hacer doble clic en él, se ejecuta el loader IcedID Forked, que a su vez descarga el bot IcedID.
Con campañas masivas que utilizan esta metodología, TA571 distribuye diferentes malware, como AsyncRAT, NetSupport y DarkGate. Con el TDS, los delincuentes pueden redirigir el tráfico a descargas de malware, utilizando incluso filtros de IP para desviar el tráfico hacia un malware o hacia una web de recolección de credenciales. La compañía considera que ese acceso se comparta o se venda a otros atacantes.
Proofpoint explica que “los ciberdelincuentes se están esforzado considerablemente en el uso del malware IcedID, aunque la entrega de TA571 de la variante Forked es única, ya que no se observa con frecuencia en datos de amenazas. La cadena de ataque incluye un filtrado único que utiliza puertas intermedias para que pase el tráfico. Estas puertas, que son URL intermediarias, filtran el tráfico con el objetivo de garantizar que sólo los usuarios a los que se dirige específicamente reciben el malware y eluden el sandboxing automatizado o la actividad de los investigadores”.