Se han observado múltiples actores de amenazas utilizando dos nuevas variantes del malware IcedID en estado salvaje con una funcionalidad más limitada que elimina la funcionalidad relacionada con el fraude bancario en línea.
IcedID, también conocido como BokBot, comenzó como un troyano bancario en 2017. También es capaz de generar malware adicional, incluido ransomware.
«La versión conocida de IcedID consiste en un cargador inicial que contacta a un cargador [command-and-control] servidor, descarga el DLL Loader estándar, que luego entrega el IcedID Bot estándar», Proofpoint dicho en un nuevo informe publicado el lunes.
Una de las nuevas versiones es una variante Lite que se destacó anteriormente como una carga útil de seguimiento del malware Emotet en noviembre de 2022. También se observó recientemente en febrero de 2023 una variante bifurcada de IcedID.
Ambas variantes están diseñadas para eliminar lo que se llama una versión bifurcada de IcedID Bot que omite las inyecciones web y la funcionalidad de backconnect que normalmente se usaría para el fraude bancario, señaló la firma de seguridad empresarial.
«Es probable que un grupo de actores de amenazas esté utilizando variantes modificadas para alejar el malware de la actividad típica de troyanos bancarios y fraudes bancarios para centrarse en la entrega de carga útil, lo que probablemente incluye priorizar la entrega de ransomware», señaló Proofpoint.
La campaña de febrero se ha vinculado a un nuevo grupo bautizado como TA581, con el actor de amenazas distribuyendo la variante Forked utilizando archivos adjuntos armados de Microsoft OneNote. Otro malware utilizado por TA581 es el cargador Bumblebee.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
En total, la variante Forked IcedID se ha empleado en siete campañas diferentes hasta la fecha, algunas de las cuales han sido realizadas por agentes de acceso inicial (IAB).
El uso de infecciones de Emotet existentes para entregar la variante Lite ha planteado la posibilidad de una posible asociación entre los desarrolladores de Emotet y los operadores de IcedID.
«Si bien históricamente la función principal de IcedID era un troyano bancario, la eliminación de la funcionalidad bancaria se alinea con el cambio general del panorama del malware bancario y un enfoque cada vez mayor en ser un cargador de infecciones posteriores, incluido el ransomware», dijeron los investigadores.