Un nuevo troyano bancario ha informado equipo de IBM X-Forse - la IcedID de Troya. Según los investigadores, la pieza surgió en estado salvaje en septiembre del año pasado. Esto es cuando sus primeras campañas se llevaron a cabo. El troyano tiene sofisticadas capacidades similares a las que se ven en Zeus.
Resumen de amenazas
| Nombre | IcedID de Troya |
| Escribe | Banca de Troya |
| Descripción breve | Infecta a los puntos finales a través del gotero de Troya Emotet. |
| Los síntomas | La carga útil se escribe en la carpeta% LocalAppData%. |
| Método de distribución | Los correos electrónicos de spam |
| Herramienta de detección |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Unirse a nuestro foro para discutir IcedID de Troya. |
IcedID tiene un código malicioso modular y actualmente se dirige a los bancos, proveedores de tarjetas de pago, proveedores de servicios móviles, nómina de sueldos, sitios de correo web y comercio electrónico en los Estados Unidos. Sin embargo, esos no son los únicos objetivos como otros dos principales U.K. Los bancos también han sido elegidos por el troyano.
Los desarrolladores de la IcedID de Troya no han utilizado el código tomado de malware conocido, pero en vez implementado características comparables que le permiten ejecutar avanzadas tácticas de manipulación del navegador. Lo que los investigadores esperan para este troyano es que superará sus predecesores chupan como Zeus y Dridex. En otras palabras, se esperan más cambios a su código en las próximas semanas.
IcedID troyanos bancarios: Métodos de distribución
Es bastante obvio que quien está detrás de las operaciones de IcedID de Troya no es nuevo para el cibercrimen. El método de infección inicial aplicada es a través de la Emotet Trojan.
Emotet está diseñado para robar datos bancarios en línea de un usuario. Aunque se considera predominantemente un troyano, Emotet también contiene las características de funcionalidad necesarias para ser clasificados como un gusano. La última vez que vimos a los ataques Emotet activos fue en agosto, 2017 cuando el malware se tuvo acceso a los sistemas mediante el uso del método diccionario contraseña.
Аs observado por el investigador, Emotet es uno de los métodos de distribución de malware más alto perfil utilizados a lo largo 2017. Se ha visto a servir a grupos de delitos informáticos de Europa del Este, y ahora se ha añadido IcedID como su última carga maliciosa.
Emotet sí apareció por primera vez en 2014 después se filtró el código fuente original de la Bugat de Troya. Emotet es persistente en el sistema infectado, También trae más componentes como un módulo de envío de correo basura, un módulo de gusano de red, y la contraseña y datos para los ladrones de correo electrónico MS Outlook y la actividad del navegador, investigador explicar.
Emotet también se entrega a través de spam malicioso y macros. Después de la infección del troyano puede residir en un sistema de silencio para servir más malware.
Capacidades de propagación de Troya red IcedID
El módulo de propagación de la red que se encuentra en IcedID dice mucho de las intenciones de sus autores para orientar las empresas. La característica significa que el troyano es capaz de saltar a otros criterios de valoración. Los investigadores también notaron que se infectó con éxito los servidores de terminal que significa que los atacantes ya se han apuntado a mensajes de correo electrónico de los empleados para llegar a los puntos finales de la empresa.
IcedID Troya carga útil Distribución
Como ya se ha mencionado, el troyano utiliza Emotet como un gotero de la infección inicial. Una vez que el sistema se reinicia, la carga útil se escribe en la carpeta% LocalAppData%.
Entonces, el troyano establecer su mecanismo de persistencia mediante la creación de un RunKey en el registro para asegurar su presencia después de nuevas reinicios del sistema.
Siguiente, IcedID escribe una clave de cifrado RSA para el sistema en la carpeta AppData. El malware puede escribir a la siguiente clave RSA durante la rutina de despliegue, lo que podría estar relacionado con el hecho de que el tráfico de Internet es un túnel a través del proceso de IcedID incluso cuando el tráfico SSL canaliza. X-Force todavía está investigando el uso exacto de la clave RSA.
Lo más curioso es que el proceso de IcedID sigue funcionando, que no es típico para cualquier tipo de malware. Esto podría significar que algunas partes del código todavía se están fijos y que este tema va a cambiar en la próxima actualización, investigadores señalan.
Este es también donde el proceso de implementación finishe, continuando con el gotero que se ejecute en el proceso de explorador hasta el siguiente reinicio del punto de infección. Al reiniciar, la carga útil se ejecuta y el IcedID de Troya se convierte en residente en el punto final.
También hay que señalar que el malware es capaz de redirigir el tráfico de Internet de la víctima a través de un proxy local que controla.
Otras capacidades maliciosos el troyano tiene:
– Un túnel de tráfico web de la víctima
– Desencadenando una redirección a una página falsa bancaria
– Comunicaciones a través de SSL cifrada
– El uso de un panel de control remoto basado en web accesible con un nombre de usuario y contraseña
IcedID Protección y Prevención de Troya
Se recomienda revisar para IcedID troyano bancario mediante el uso de las instrucciones de abajo y escanear el sistema con un software anti-malware avanzado, que también le ayudará a mantenerse protegido en el futuro, así como con su escudo en tiempo real. A pesar de que actualmente se dirige a IcedID organizaciones, hay múltiples ejemplos de los consumidores siendo dirigidas por troyanos bancarios.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: