Novas variantes do IcedID foram encontradas sem a funcionalidade usual de fraude bancária online e, em vez disso, focam na instalação de mais malwares em sistemas comprometidos.
Segundo a Proofpoint, essas novas variantes foram utilizadas por três atores de ameaças distintos em sete campanhas desde o final do ano passado, com foco na entrega de payloads adicionais, principalmente ransomware.
A Proofpoint identificou duas novas variantes do carregador IcedID, chamadas "Lite" (vista pela primeira vez em novembro de 2022) e "Forked" (observada pela primeira vez em fevereiro de 2023), ambas entregando o mesmo bot IcedID com um conjunto de recursos mais estreito.
A remoção de funções desnecessárias no IcedID, que foi implantado em várias campanhas maliciosas sem muitas alterações de código desde 2017, torna-o mais furtivo e enxuto, o que pode ajudar os atores de ameaças a evitar a detecção.
A partir de novembro de 2022, a variante "Lite" do carregador IcedID foi entregue como um payload de segunda etapa em sistemas infectados pelo malware Emotet recém-retornado.
A versão "Forked" do carregador de malware apareceu pela primeira vez em fevereiro de 2023, distribuída diretamente por meio de milhares de e-mails de phishing personalizados com tema de faturas.
Essas mensagens usavam anexos do Microsoft OneNote (.one) para executar um arquivo HTA malicioso que, por sua vez, executa um comando PowerShell que busca o IcedID de uma fonte remota.
Ao mesmo tempo, a vítima é servida com um PDF falso.
No final de fevereiro, os pesquisadores da Proofpoint observaram uma campanha de baixo volume distribuindo o IcedID "Forked" por meio de notificações falsas da Lei Nacional de Trânsito e Segurança Veicular e da Administração de Alimentos e Medicamentos dos EUA (FDA).
É importante observar que, enquanto alguns atores de ameaças usam novas variantes do malware IcedID, outros ainda escolhem implantar a variante "Standard", com uma das campanhas mais recentes datando de 10 de março de 2023.
A variante "Forked" do carregador IcedID é bastante semelhante à versão "Standard" em termos de seu papel, enviando informações básicas do host para o C2 e, em seguida, buscando o bot IcedID.
No entanto, "Forked" usa um tipo de arquivo diferente (Servidor COM) e apresenta código adicional de descriptografia de domínio e string, tornando o payload 12KB maior que a versão "Standard".
Por outro lado, a variante "Lite" do carregador é mais leve, com 20KB, e não exfiltra informações do host para o C2.
Essa mudança faz sentido, uma vez que foi implantada ao lado do Emotet, que já havia perfilado o sistema comprometido.
A versão "Forked" do bot IcedID é 64KB menor que o bot "Standard" e é basicamente o mesmo malware, exceto pelo sistema de injeção web, as funções AiTM (adversário no meio) e as capacidades de backconnect que dão aos atores de ameaças acesso remoto aos dispositivos infectados.
O IcedID é geralmente usado para acesso inicial pelos atores de ameaças, então o desenvolvimento de novas variantes é um sinal preocupante, indicando uma mudança em direção à especialização do bot na entrega de payloads.
A Proofpoint prevê que a maioria dos atores de ameaças continuará a usar a variante "Standard", mas a implantação de novas versões do IcedID provavelmente crescerá, e mais variantes podem surgir mais tarde em 2023.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...