Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha detectado nuevas variantes del malware IcedID usadas por al menos tres grupos de ciberdelincuentes, incluyendo TA542 (Emotet) y TA551 (Shathak). En origen, este malware era utilizado normalmente como un troyano bancario por los atacantes más avanzados, pero recientemente ha cambiado su uso y funcionalidad.
Solo en el último año, los investigadores de Proofpoint han detectado cientos de campañas de IcedID y al menos cinco grupos de ciberdelincuentes diferentes que lo distribuyen directamente. Casi todos los grupos utilizan la variante estándar y son intermediarios de acceso inicial que facilitan las infecciones que conducen al ramsonware. En la actualidad se detectan todas las versiones, por eso se sabe que no son actualizaciones directas del código base. Los investigadores creen que las nuevas variantes Lite y Forked, detalladas a continuación, han sido modificadas para alejar el malware de la actividad típica de los troyanos y fraudes bancarios y centrarse en la entrega de payloads para distribuir ransomware.
IcedID Estándar
La variante más común, utilizada por varios grupos de ciberdelincuentes. Se trata de un malware bancario que no ha sufrido cambios desde que se observó por primera vez en 2017. Consiste en un loader inicial que contacta con un servidor Loader 2, descarga el DLL Loader estándar y entrega el bot IcedID.
IcedID Lite
Nueva variante observada por primera vez en noviembre de 2022, distribuida como payload de seguimiento en una campaña de Emotet del grupo TA542. El IcedID Lite Loader contiene una URL estática para descargar el archivo Bot Pack con el nombre “botpack.dat” que resulta en el IcedID Lite DLL Loader, y luego entrega la versión Forked de IcedID Bot, dejando fuera las funcionalidades webinjects y backconnect que normalmente se utilizarían para el fraude bancario. Los grupos de ciberdelincuentes TA578, TA551, TA577, TA544 y TA581 están frecuentemente asociados a esta variante.
IcedID Forked
Nueva variante observada desde febrero de 2023 que, hasta la fecha, Proofpoint ha visto utilizada en siete campañas diferentes. Esta versión ha sido distribuida por el grupo de ciberdelincuentes TA581 y por otro grupo todavía no identificado que actúan como facilitadores de acceso inicial. En sus campañas se utilizan diferentes tipos de archivos adjuntos, como documentos de Microsoft One Note o archivos .URL, que conducen a esta variante Forked de IcedID.
El IcedID Forked Loader es más similar al IcedID Loader estándar en el sentido de que contacta con un servidor Loader C2 para recuperar el DLL Loader y el bot. Ese loader tiene artefactos parecidos a los del Lite Loader, y también carga el Forked IcedID Bot.
