IcedID: novo malware descoberto pela IBM no cenário bancário

Índice

Em um mundo onde tudo é gerenciado online podemos ver que todos os nossos dados estão em uma variável de segurança constante que sempre tem a tendência de ficar vulnerável devido aos milhares de ataques que estão sendo executados na web.

A maioria de nós frequentemente realiza transações comerciais pela Internet onde nossos dados pessoais, números de contas bancárias, números de cartão de crédito e muito mais estão em jogo, o que torna esta situação de segurança delicada, pois se as informações caírem em mãos erradas, poderemos estar em sérias dificuldades.

Os analistas de segurança, especialmente em termos de malware, detectaram uma nova ameaça, que é um Trojan bancário chamado IcedID, que está atualmente em seus estágios iniciais de desenvolvimento. A Solvetic vai analisar como essa nova ameaça atua para tomar as medidas de segurança necessárias.

Como esse malware foi descoberto

O grupo de pesquisa IBM X-Force analisa e monitora constantemente o campo do cibercrime financeiro para detectar os eventos e tendências que moldam o cenário de ameaças tanto no nível das organizações quanto para os consumidores financeiros, que somam milhões.

Depois de um ano muito ativo em termos de malware bancário, com ataques como malware de ponto de venda (POS) e ataques de ransomware como WannaCry, a equipe do X-Force identificou um novo cavalo de Tróia bancário naturalmente ativo chamado IcedID .

De acordo com uma pesquisa realizada pelo grupo X-Force, o novo cavalo de Troia bancário surgiu em setembro de 2021-2022, quando suas primeiras campanhas de teste foram lançadas. Os pesquisadores observaram que o IcedID possui código malicioso modular com recursos modernos de Trojan bancário comparáveis ​​a malware como o Trojan Zeus. No momento, o malware tem como alvo bancos, provedores de cartão de pagamento, provedores de serviços móveis, folha de pagamento, webmail e sites de comércio eletrônico nos Estados Unidos e dois dos principais bancos do Reino Unido também estão na lista de alvos que o malware atinge.

O IcedID não parece ter emprestado o código de outros cavalos de Tróia conhecidos, mas implementa recursos idênticos que permitem executar táticas avançadas de adulteração do navegador. Embora os recursos do IcedID já estejam no mesmo nível dos de outros cavalos de Tróia bancários, como Zeus, Gozi e Dridex, mais atualizações para esse malware são esperadas nas próximas semanas.

Malware espalhado

A análise do grupo X-Force do método de entrega do malware IcedID indica que os operadores não são novos no campo do crime cibernético e optam por infectar os usuários por meio do Trojan Emotet. A investigação do X-Force assume que um ator de ameaça, ou pequeno cibernético, está usando o Emotet como uma operação de distribuição para cavalos de Troia bancários e outros códigos de malware este ano. A zona de ataque mais proeminente do Emotet são os EUA. Em menor grau, ele também tem como alvo usuários no Reino Unido e em outras partes do mundo.

O Emotet está listado como um dos métodos de distribuição de malware notáveis ​​em 2021-2022, atendendo a grupos de crimes cibernéticos de elite da Europa Oriental, como aqueles operados por QakBot e Dridex. O Emotet surgiu em 2014, após um vazamento do código-fonte original do Trojan Bugat. Originalmente, o Emotet era um Trojan bancário que precedeu o Dridex. Como tal, é projetado para acumular e manter botnets. O Emotet persiste na máquina e obtém componentes adicionais, como um módulo de spam, um módulo de worm de rede e roubo de senha e dados para e-mail do Microsoft Outlook e atividade do navegador do usuário.

O próprio Emotet vem via malspam, geralmente em arquivos de produtividade manipulados que contêm macros maliciosas. Depois que o Emotet infecta o endpoint, ele se torna um residente silencioso e é operado para servir malware de outros cibercriminosos sem ser simplesmente detectado. O IcedID pode realizar ataques que roubam dados financeiros do usuário por meio de ataques de redirecionamento, que instalam proxy local para redirecionar usuários para sites de clonagem, e ataques de injeção na web, com esse método o processo do navegador é injetado para exibir conteúdo falso sobreposto ao original página que finge ser um site confiável.

TTPs IcedIDOs TTPs (Táticas, Técnicas e Procedimentos - Táticas, Técnicas e Procedimentos) do IcedID, possuem uma série de elementos que devem ser considerados e levados em consideração ao se falar sobre esse malware. Além dos recursos de Trojan mais comuns, o IcedID tem a capacidade de se espalhar por uma rede e, uma vez lá, monitora a atividade online da vítima configurando um proxy local para o túnel de tráfego, que é um conceito que lembra o Trojan GootKit. Suas táticas de ataque incluem ataques de injeção na web e ataques de redirecionamento sofisticados, semelhantes ao esquema usado pelo Dridex e pelo TrickBot.

Propagação na rede

Os operadores de IcedID pretendem se concentrar nos negócios porque adicionaram um módulo de propagação de rede ao malware desde o início. O IcedID possui a capacidade de se mover para outros pontos de extremidade, e os pesquisadores do X-Force também observaram que ele infectava servidores de terminal. Os servidores de terminal normalmente fornecem, como o nome indica, terminais, como endpoints, impressoras e dispositivos de rede compartilhados, com um ponto de conexão comum para uma rede local (LAN) ou uma rede de longa distância (WAN), sugerindo que o IcedID já possui encaminhava e-mails de funcionários para o solo em endpoints organizacionais, estendendo seu ataque.

No gráfico a seguir podemos ver as funções de propagação de rede do IcedID, a partir de um IDA-Pro:

Para encontrar outros usuários para infectar, o IcedID consulta o Lightweight Directory Access Protocol (LDAP) com a seguinte estrutura:

Os TTPs de fraude financeira IcedID incluem dois modos de ataque

  • Ataques de injeção na web
  • Ataques de redirecionamento

Para fazer isso, o malware baixa um arquivo de configuração do servidor de comando e controle (C e C) do cavalo de Tróia quando o usuário abre o navegador da Internet. A configuração inclui alvos para os quais um ataque de injeção na web será acionado, principalmente bancos e outros alvos que foram equipados com ataques de redirecionamento, como cartões de pagamento e sites de webmail.

Implantação de carga útil IcedID e detalhes técnicos

Os pesquisadores do X-Force conduziram uma análise dinâmica de amostras do malware IcedID e, a partir daí, o malware é implantado em endpoints que executam várias versões do sistema operacional Windows. Não parece possuir nenhuma máquina avançada anti-máquina virtual (VM) ou técnicas anti-investigação, além das seguintes:

Requer uma reinicialização para concluir a implantação completa, possivelmente para ignorar os sandboxes que não emulam a reinicialização. Ele se comunica por meio de Secure Sockets Layer (SSL) para adicionar uma camada de segurança às comunicações e evitar varreduras automatizadas por sistemas de detecção de intrusão.
Com essa operação, os pesquisadores do X-Force afirmam que recursos anti-forenses podem ser aplicados a este cavalo de Tróia ao longo do tempo.

O IcedID é implementado nos endpoints de destino usando o Trojan Emotet como um gateway. Após a reinicialização, a carga útil é gravada na pasta% Windows LocalAppData% com um valor gerado por alguns parâmetros do sistema operacional. Esse valor é usado no caminho de implantação e no valor RunKey para o arquivo.
A convenção completa para o valor é:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
O malware estabelece seu mecanismo de persistência criando um RunKey no registro indicado para garantir sua sobrevivência após eventos de reinicialização do sistema. Posteriormente, o IcedID grava uma chave de criptografia RSA para o sistema na pasta AppData. O malware pode gravar nessa chave RSA durante a rotina de implantação, o que pode estar relacionado ao fato de que o tráfego da web é canalizado por meio do processo IcedID, mesmo quando o tráfego SSL é canalizado.
O arquivo temporário é gravado com a seguinte convenção:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-user local \ bb7275 User \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-user local \ bb7275 User \ Local87275 Usuários \ Usuários locais \ bb72 Temp \ CACCEF19.tmp
O processo IcedID continua em execução, o que é raro para malware. Isso pode significar que algumas partes do código ainda estão sendo corrigidas e esse problema mudará na próxima atualização.

O processo de implantação termina aqui e o malware continuará a ser executado no processo Explorer até a próxima reinicialização desse endpoint. Após o evento de reinicialização, a carga útil é executada e o cavalo de Troia IcedID torna-se residente no endpoint. Nesse ponto, os componentes do malware estão prontos para começar a redirecionar o tráfego da vítima na Internet por meio de um proxy local que ele controla.

Como o IcedID redireciona o tráfego da web da vítima

O IcedID configura um proxy local para escutar e interceptar as comunicações do endpoint da vítima e redirecionar todo o tráfego da Internet através dele em dois saltos. Primeiro, o tráfego é transferido para o servidor local, localhost, (127.0.0.1) através da porta 49157, que faz parte das portas TCP / IP dinâmicas e / ou privadas. Em segundo lugar, o processo malicioso do malware escuta nessa porta e vaza as comunicações relevantes para o seu servidor C&C.

Embora tenha sido desenvolvido recentemente, o IcedID usa ataques de redirecionamento. O esquema de redirecionamento que o IcedID usa não é uma simples transferência para outro site com uma URL diferente, pelo contrário, é projetado para parecer o mais transparente possível para a vítima.

Essas táticas incluem a exibição do URL do banco legítimo na barra de endereço e o certificado SSL correto do banco, o que é possível mantendo uma conexão ativa com o site real do banco, de forma que não tenhamos como detectar a ameaça. O esquema de redirecionamento IcedID é implementado por meio de seu arquivo de configuração. O malware escuta o URL de destino na lista e, uma vez que encontra um gatilho, executa uma injeção web designada. Essa injeção na web envia a vítima a um site bancário falso configurado com antecedência para corresponder ao site originalmente solicitado, simulando seu ambiente.

A vítima é induzida a apresentar suas credenciais na réplica da página falsa, que, sem saber, a envia para o servidor do invasor. A partir desse ponto, o invasor controla a sessão pela qual a vítima passa, o que normalmente inclui engenharia social para enganar a vítima para que divulgue itens de autorização de transação.

Comunicação de malware

As comunicações IcedID são feitas por meio do protocolo SSL criptografado. Durante uma campanha analisada no final de outubro, o malware se comunicou com quatro servidores C&C diferentes. O gráfico a seguir mostra uma visão esquemática da comunicação IcedID e da infraestrutura de infecção:

PROLONGAR

Para relatar novas infecções ao botnet, o IcedID envia uma mensagem criptografada com a identificação do bot e informações básicas do sistema da seguinte forma:

As partes da mensagem decodificada mostram os seguintes detalhes que são enviados para o C&C

  • B = ID do bot
  • K = nome da equipe
  • L = Grupo de Trabalho
  • M = versão do sistema operacional

Painel de injeção remota

Para organizar ataques de injeção na web para cada site de banco de destino, os operadores de IcedID têm um painel remoto dedicado baseado na web acessível com uma combinação de nome de usuário e senha idêntica à do banco original.
Os painéis de injeção da Web são frequentemente ofertas comerciais que os criminosos compram em mercados clandestinos. É possível que o IcedID use um painel comercial ou que o IcedID seja um malware comercial. No entanto, no momento não há nenhuma indicação de que o IcedID está sendo vendido nos mercados underground ou Dark Web.

Um painel de injeção remota terá a seguinte aparência:

Como podemos ver ali, o usuário é solicitado a inserir suas credenciais como o faz normalmente no site de seu banco. O painel se comunica novamente com um servidor baseado na plataforma da web OpenResty. De acordo com seu site oficial, o OpenResty foi projetado para ajudar os desenvolvedores a criar facilmente aplicativos da web escaláveis, serviços da web e portais da web dinâmicos, facilitando sua disseminação.

Como nos proteger do IcedID

O grupo de pesquisa X-Force aconselha a aplicação de patches de segurança aos navegadores e eles próprios realizaram o seguinte processo:

Explorador de internet

 Conectar CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Raposa de fogo

 nss3.dll! SSL_AuthCertificateHook

Outros navegadores

 CreateProcessInternalW CreateSemaphoreA

Embora o IcedID ainda esteja em processo de disseminação, não se sabe ao certo qual será o impacto que terá em todo o mundo, mas o ideal é estar um passo à frente e tomar as medidas de segurança necessárias.

wave wave wave wave wave