Cargando

Seguridad

IcedID: Nuevo malware descubierto por IBM en la escena bancaria

El grupo de investigación de IBM X-Force ha descubierto un nuevo malware bancario. Con el nombre IcedID, implementa características que le permiten realizar tácticas avanzadas de manipulación del navegador. Conoce todos los detalles.

Escrito por John Duque nov 13 2017 14:29

En un mundo donde todo se maneja en red podemos ver que todos nuestros datos se encuentran en una constante variable de seguridad la cual siempre tiene la tendencia a ser vulnerable debido a los miles de ataques que están siendo ejecutados en la web.

 

La mayoría de nosotros realizamos de forma frecuente transacciones comerciales a través de internet donde están en juego nuestros datos personales, números de cuentas bancarias, números de tarjeta de crédito, y más, lo cual convierte esto en una delicada situación de seguridad ya que si esta información cae en las manos equivocadas podemos estar en serias dificultades.

 

Los analistas de seguridad, especialmente en términos de malware, han detectado una nueva amenaza, la cual se trata de un troyano bancario denominado IcedID y que actualmente se encuentra en sus primeras etapas de desarrollo. Solvetic hará un análisis sobre como actúa esta nueva amenaza para poder tomar las medidas que sean necesarias a nivel de seguridad.

 

 

Cómo se descubrió este malware

Imagen adjunta: malware-bancario-1.png

 

El grupo de investigación de IBM X-Force de forma constante analiza y supervisa el campo de la ciberdelincuencia financiera con el fin de detectar los eventos y las tendencias que configuran el panorama de amenazas tanto a nivel de organizaciones como para los consumidores financieros los cuales suman millones.

 

Después de un año que ha sido muy activo en términos de malware bancario, con ataques como el malware de punto de venta (POS) y ataques de ransomware como WannaCry, el equipo de X-Force identificó un nuevo troyano bancario activo en la naturaleza llamado IcedID.

 

De acuerdo con la investigación realizada por el grupo X-Force, el nuevo troyano bancario surgió en septiembre de 2017, cuando se lanzaron sus primeras campañas de prueba. Los investigadores observaron que IcedID posee un código malicioso modular con capacidades modernas de troyanos bancarios comparables a malware como el troyano Zeus. En este momento, el malware está enfocado a bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, nómina, webmail y sitios de comercio electrónico en los EE. UU y dos de los principales bancos del Reino Unido también están en la lista de objetivos que obtiene el malware.

 

¿Qué pasaría si te enterases de que los resultados del buscador Google es posible que no sean 100% seguros? El troyano conocido como Zeus Panda parece que utiliza el SEO para envenenar los resultados de búsqueda.

 

IcedID no parece haber tomado prestado el código de otros troyanos conocidos, pero implementa características idénticas que le permiten realizar tácticas avanzadas de manipulación del navegador. Aunque las capacidades de IcedID ya están a la par con las de otros troyanos bancarios como Zeus, Gozi y Dridex, se espera que vendrán más actualizaciones de este malware en las próximas semanas.

 

 

Propagación del malware

Imagen adjunta: malware-bancario-2.png

 

El análisis del grupo de X-Force sobre el método de entrega del malware IcedID indica que los operadores no son nuevos en el campo del cibercrimen y optan por infectar a los usuarios a través del troyano Emotet. La investigación de X-Force supone que un actor de amenaza, o un pequeño cibergénero, ha estado utilizando Emotet como una operación de distribución para troyanos bancarios y otros códigos de malware este año. La zona de ataque más destacada de Emotet es EE. UU. En menor medida, también se dirige a usuarios en el Reino Unido y en otras partes del mundo.

 

Emotet es catalogado como uno de los métodos de distribución de malware notables en 2017, el cual presta servicios a grupos elite de ciberdelincuencia de Europa del Este, como los que operan QakBot y Dridex. Emotet surgió en 2014 después de una filtración del código fuente original del Bugat Trojan. Originalmente Emotet era un troyano bancario que precedió a Dridex. Como tal, está diseñado para acumular y mantener botnets. Emotet persiste en la máquina y luego obtiene componentes adicionales, como un módulo de correo no deseado, un módulo de gusano de red, y contraseña y robo de datos para el correo electrónico de Microsoft Outlook y la actividad del navegador del usuario.

 

Emotet en sí viene a través de malspam, generalmente dentro de archivos de productividad manipulados que contienen macros maliciosas. Una vez que Emotet infecta el punto final, se convierte en un residente silencioso y es operado para servir malware de otros cibercriminales sin que sea detectado de forma simple. IcedID puede llevar a cabo ataques que roban datos financieros del usuario mediante ataques de redirección, el cual instala proxy local para redirigir a los usuarios a sitios de clonación, y ataques de inyección web, con este método se inyecta el proceso del navegador para mostrar contenido falso superpuesto en la parte superior de la página original simulando ser un sitio web confiable.

 

 

TTPs de IcedID
Los TTPs (Tactics, Techniques and Procedures - Tácticas, Técnicas y Procedimientos) de IcedID, poseen una serie de elementos que deben ser considerados y tenidos en cuenta a la hora de hablar de este malware. Además de las características troyanas más comunes, IcedID tiene la capacidad de propagarse a través de una red, y una vez allí, supervisa la actividad en línea de la víctima mediante la configuración de un proxy local para el túnel de tráfico, el cual es un concepto que recuerda al troyano GootKit. Sus tácticas de ataque incluyen ataques de webinjection y sofisticados ataques de redirección similares al esquema utilizado por Dridex y TrickBot.

 

 

Propagación en la red

Imagen adjunta: malware-bancario-3.png

 

Los operadores de IcedID tienen la intención de enfocarse en negocios porque agregaron un módulo de propagación de red al malware desde el primer momento. IcedID posee la capacidad de moverse a otros puntos finales, y los investigadores de X-Force también lo observaron infectando servidores de terminales. Los servidores de Terminal suelen proporcionar, como su nombre lo indica, terminales, tales como endpoints, impresoras y dispositivos de red compartidos, con un punto de conexión común a una red de área local (LAN) o una red de área extensa (WAN), lo que sugiere que IcedID ya ha dirigido correos electrónicos de empleados a tierra en puntos finales organizacionales extendiendo su ataque.

 

En el siguiente grafico podemos ver las funciones de propagación de red de IcedID, desde un IDA-Pro:

 

Imagen adjunta: malware-bancario-descubierto-IBM-IcedID-1.png

 

Para encontrar otros usuarios que infectar, IcedID consulta el protocolo ligero de acceso a directorios (LDAP) con la siguiente estructura:

 

Imagen adjunta: malware-bancario-descubierto-IBM-IcedI-2.png

 

Los TTPs de fraude financiero de IcedID incluyen dos modos de ataque
  • Ataques de webinjection
  • Ataques de redirección

 

Para ejecutar esto, el malware descarga un archivo de configuración del servidor de comando y control (C & C) del troyano cuando el usuario abre el navegador de Internet. La configuración incluye objetivos para los cuales se activará un ataque de inyección web, principalmente bancos y otros objetivos que fueron equipados con ataques de redirección, como tarjetas de pago y sitios de webmail.

 

 

Detalles técnicos y despliegue de carga útil de IcedID

Imagen adjunta: malware-bancario-4.png

 

Los investigadores de X-Force realizaron un análisis dinámico de muestras del malware IcedID y, a partir de ahí, el malware se implementa en puntos finales que ejecutan varias versiones del sistema operativo Windows. No parece poseer ninguna máquina anti-virtual (VM) avanzada o técnicas anti-investigación, aparte de lo siguiente:

 

Requiere un reinicio para completar la implementación completa, posiblemente para evadir entornos limitados que no emulan el reinicio. Se comunica a través de la capa de sockets seguros (SSL) para adicionar una capa de seguridad a las comunicaciones y evitar los escaneos automáticos mediante sistemas de detección de intrusos.
Con este funcionamiento, los investigadores de X-Force afirman que las características anti- forenses pueden aplicarse a este troyano a lo largo del tiempo.

 

IcedID se implementa en los puntos finales objetivo usando el troyano Emotet como puerta de acceso. Después de reiniciar, la carga útil se escribe en la carpeta %Windows LocalAppData% con un valor generado por algunos parámetros del sistema operativo. Ese valor se usa tanto en la ruta de implementación como en el valor de RunKey para el archivo.
La convención completa para el valor es:

%LOCALAPPDATA%\[a-z] {9} \ [a-z] {9}.exe
C:\Users\User\AppData\Local\ewonliarl\ewonliarl.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ewonliarl
El malware establece su mecanismo de persistencia creando un RunKey en el registro indicado para garantizar su supervivencia después de los eventos de reinicio del sistema. Posteriormente, IcedID escribe una clave de cifrado RSA para el sistema en la carpeta AppData. El malware puede escribir en esta clave RSA durante la rutina de implementación, lo que podría estar relacionado con el hecho de que el tráfico web se canaliza a través del proceso de IcedID incluso cuando se canaliza el tráfico SSL.
El archivo temporal se escribe con la siguiente convención: %TEMP%\[A-F0-9]{8}.tmp.
C:\Users\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2137145731-2486784493-1554833299-1000\fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b53
C:\Users\User\AppData\Local\Temp\CACCEF19.tmp
El proceso de IcedID continúa ejecutándose, lo cual es poco frecuente en el malware. Esto podría significar que algunas partes del código aún se están reparando y que este problema cambiará en la próxima actualización.

 

El proceso de implementación finaliza aquí y el malware continuara ejecutándose bajo el proceso Explorer hasta el próximo reinicio de ese punto final. Tras el evento de reinicio, la carga útil se ejecuta y el troyano IcedID pasa a ser residente en el punto final. En este punto, los componentes del malware están en su lugar para comenzar a redirigir el tráfico de Internet de la víctima a través de un proxy local que controla.

 

 

Cómo IcedID redirige el tráfico web de la victima

Imagen adjunta: malware-bancario-5.png

 

IcedID configura un proxy local para escuchar e interceptar comunicaciones desde el punto final de la víctima y redirige todo el tráfico de Internet a través de él en dos saltos. En primer lugar, el tráfico se transfiere al servidor local, localhost, (127.0.0.1) a través del puerto 49157, que es parte de los puertos TCP/IP dinámicos y/o privados. En segundo lugar, el proceso malicioso del malware escucha en ese puerto y exfiltra las comunicaciones relevantes a su servidor de C & C.

 

Aunque su desarrollo fue hace poco, IcedID usa ataques de redirección. El esquema de redirección que IcedID usa no es un simple traspaso a otro sitio web con una URL diferente, por el contrario, está diseñado para que parezca lo más transparente posible para la víctima.

 

Estas tácticas incluyen mostrar la URL del banco legítimo en la barra de direcciones y el certificado SSL correcto del banco, lo que es posible manteniendo una conexión en vivo con el sitio real del banco y asi no tendremos forma de detectar la amenaza. El esquema de redirección de IcedID se implementa a través de su archivo de configuración. El malware escucha la URL objetivo de la lista y, una vez que encuentra un activador, ejecuta una inyección web designada. Esta webinjection envía a la víctima a un sitio bancario falso configurado de antemano para que coincida con el sitio solicitado originalmente simulando su entorno.

 

La víctima es engañada para que presente sus credenciales en la réplica de la página falsa, que sin saberlo lo envía al servidor del atacante. A partir de ese punto, el atacante controla la sesión que atraviesa la víctima, que generalmente incluye ingeniería social para engañar a la víctima para que divulgue elementos de autorización de transacción.

 

 

Comunicación del malware

Imagen adjunta: malware-bancario--6.png

 

Las comunicaciones de IcedID se realizan a través del protocolo SSL encriptado. Durante una campaña analizada a fines de octubre, el malware se comunicó con cuatro servidores diferentes de C & C. En el siguiente gráfico se muestra una vista esquemática de la infraestructura de infección y comunicación de IcedID:

 

 

Para informar nuevas infecciones a la botnet, IcedID envía un mensaje codificado con la identificación del bot y la información básica del sistema de la siguiente manera:

 

Imagen adjunta: malware-bancario-descubierto-IBM-IcedI-4.png

 

Las partes del mensaje decodificado muestran los siguientes detalles que se envían al C & C
  • B = ID del Bot
  • K = Nombre del equipo
  • L = Grupo de trabajo
  • M = versión del sistema operativo

 

 

Panel de inyección remota

Imagen adjunta: malware-bancario-7.png

 

Para organizar ataques de webinjection para cada sitio web de banco objetivo, los operadores de IcedID cuentan con un panel remoto dedicado basado en la web accesible con una combinación de nombre de usuario y contraseña idéntica al banco original.
Los paneles de inyección web suelen ser ofertas comerciales que los delincuentes compran en mercados clandestinos. Es posible que IcedID use un panel comercial o que IcedID sea un malware comercial. Sin embargo, en este momento no hay ninguna indicación de que IcedID se venda en los mercados clandestinos o Dark Web (Web Oscura).

 

Un panel de inyección remota tendrá la siguiente apariencia:

 

Imagen adjunta: malware-bancario-descubierto-IBM-IcedI-5.jpg

 

Como vemos allí se solicita que el usuario ingrese sus credenciales tal como lo hace de forma normal en el sitio web de su banco. El panel se comunica nuevamente a un servidor basado en la plataforma web OpenResty. Según su sitio web oficial, OpenResty está diseñado para ayudar a los desarrolladores a crear fácilmente aplicaciones web escalables, servicios web y portales web dinámicos facilitando su propagación.

 

 

Cómo protegernos de IcedID

Imagen adjunta: malware-bancario-8.png

 

El grupo de investigación de X-Force aconseja aplicar los parches de seguridad a los navegadores y ellos mismos realizaron el siguiente proceso:

 

Internet Explorer
Connect
CreateProcessInternalW
CertGetCertificateChain
CertVerifyCertificateChainPolicy

 

Firefox
nss3.dll!SSL_AuthCertificateHook

 

Otros navegadores
CreateProcessInternalW
CreateSemaphoreA

 

Aunque IcedID aun está en proceso de propagación no se sabe con certeza qué impacto tendrá a nivel mundial, pero es ideal estar un paso adelante y tomar las medidas de seguridad necesarias.

Ver Comentarios (1) Escribir comentario