Se han detectado dos nuevas variantes del infame malware IcedID, sin embargo, ambas carecen de ciertas características distintivas, lo que hace que los expertos en seguridad sientan curiosidad por su propósito.
Investigadores de ciberseguridad de Proofpoint revelados (se abre en una pestaña nueva) desde febrero, han estado rastreando dos versiones de IcedID, una llamada «Lite» y la otra llamada «Bifurcado».
Ambos vienen sin las características habituales de fraude bancario en línea, en lugar de eso supuestamente funcionan más como cuentagotas para campañas más elaboradas.
Tácticas sigilosas de malware
Proofpoint dice que ha visto al menos tres grupos de piratería diferentes que utilizan estas dos versiones en siete campañas desde fines del año pasado. Aparentemente, estos grupos han estado usando IcedID como un trampolín hacia las infecciones de ransomware.
No está claro por qué exactamente los actores de amenazas decidieron despojar a IcedID de sus características únicas, pero algunos informes han sugerido que la eliminación de funciones «innecesarias» lo hace más sigiloso y ágil, lo que ayuda a los ciberdelincuentes a permanecer ocultos por más tiempo.
La forma en que IcedID se entrega a las víctimas también difiere. En algunos casos, los atacantes distribuirían correos electrónicos de phishing con archivos adjuntos de Microsoft OneNote. En otros casos, usarían Emotet.
Los investigadores notaron que la existencia de dos nuevas variantes no significa que el malware original ya no se esté usando.
Recientemente, el 10 de marzo de 2023, algunos actores de amenazas aún optan por implementar lo que Proofpoint llama la variante «Estándar». Los investigadores creen que la mayoría de los actores de amenazas seguirán optando por la variante estándar, aunque Lite y Forked podrían ganar algo de popularidad este año.
IcedID es un antiguo troyano bancario modular, que generalmente se usa para implementar malware de etapa dos. Hasta ahora, los investigadores de seguridad cibernética lo han visto utilizado en innumerables campañas, en su mayoría utilizadas por corredores de acceso para obtener, y luego vender, acceso a redes y puntos finales de alto valor.
Uno de esos grupos fue TA551, un actor de amenazas sin vínculos concretos con ningún estado-nación. El grupo fue visto vendiendo acceso obtenido a través de IcedID en abril pasado.