El conocido como malware IcedID regresa con nuevas variantes como Forked, para lanzar campañas maliciosas con más de 6.000 mensajes en cada caso, según un reciente análisis realizado por la empresa Proofpoint. Durante el pasado mes de octubre, detectaron unos ataques que afectaron a más de 1.200 clientes de distintos sectores en todo el mundo. Tras ellos estaba el grupo TA571, un distribuidor de spam en campañas de gran volumen para entregar e instalar gran variedad de malware.
Mediante la técnica “thread hijacking” o “secuestro de hilos de correo”, los ciberdelincuentes enviaban mensajes a modo de respuesta de conversaciones existentes con direcciones URL 404 TDS que enlazaban a la descarga de un archivo zip protegido por una contraseña indicada en el propio mensaje. La cadena de ataque incluía una serie de comprobaciones para validar al destinatario antes de entregar el archivo zip. Este contenía un script VBS que, al hacer doble clic, ejecutaba un loader IcedID Forked incrustado que, a su vez, descargaba el bot IcedID.
Identificado por Proofpoint por primera vez en febrero de 2023, el uso de la variante Forked de IcedID sólo se había observado en un pequeño número de campañas. Entre la variante IcedID original y la variante Forked, la diferencia clave está en la eliminación de la funcionalidad bancaria. Por entonces, los expertos de la compañía de ciberseguridad consideraron que los atacantes estaban utilizando las variantes modificadas para alejar el malware de la actividad típica de troyanos bancarios y centrarse en la entrega de payloads, dando prioridad probablemente a la entrega de ransomware.
El grupo TA571 emplea 404 TDS en campañas para distribuir malware, como AsyncRAT, NetSupport y DarkGate. Un sistema de distribución de tráfico (TDS) es una aplicación para enrutar el tráfico web a través de servidores controlados por el operador. De esta manera, los ciberdelincuentes pueden redirigir el tráfico a descargas de malware y utilizar el filtrado de IP para determinar si se debe entregar una payload o llevar a un sitio web de recolección de credenciales. Según Proofpoint, es probable que 404 TDS se comparta o venda a otros atacantes por su implicación en diversas campañas de phishing y malware no relacionadas.
“Los ciberdelincuentes se están esforzado considerablemente en el uso del malware IcedID, aunque la entrega de TA571 de la variante Forked es única, ya que no se observa con frecuencia en datos de amenazas. La cadena de ataque incluye un filtrado único que utiliza puertas intermedias para que pase el tráfico. Estas puertas, que son URL intermediarias, filtran el tráfico con el objetivo de garantizar que sólo los usuarios a los que se dirige específicamente reciben el malware y eluden el sandboxing automatizado o la actividad de los investigadores”, explican desde Proofpoint.
