IcedID, noto anche come Bokbot, è un trojan bancario scoperto per la prima volta nel 2017: l’obiettivo del malware è il furto delle credenziali personali salvate nei moduli automatici di autocompilazione campi dei browser di navigazione Web.
IcedID viene distribuito principalmente tramite allegati delle e-mail, utilizzando file nei principali formati dei documenti di testo. Le e-mail utilizzate spesso includono come oggetto la stringa “invio fattura”, “conferma d’ordine” e similari.
Indice degli argomenti
IcedID: tutti i dettagli tecnici
Nei recenti attacchi si è visto anche l’utilizzo della situazione dell’attuale pandemia Covid-19; in queste e-mail vengono indicati argomenti relativi alla situazione sanitaria, facendo così leva sulla sensibilità all’argomento per indurre l’utente ad aprire l’allegato contenente il codice malevolo.
Il malware IcedID agisce tramite documenti Microsoft Word infetti, utilizzando la componente delle macro, ovvero delle istruzioni contenute nel file che attivano un comando che compie un’azione automatica.
La macro presente nel file DOC inserisce automaticamente un programma di installazione del malware, progettato per rubare le credenziali degli utenti, i dati delle carte di pagamento e altre informazioni sensibili dei principali istituti finanziari.
In dettaglio, la macro dannosa inserita nel documento Microsoft Word scarica ed esegue il programma di installazione che si sposta in %APPDATA%/Local/{user}/ o %APPDATA%/Local/{GUID}/ e imposta, così, un’attività pianificata da eseguire ogni ora.
Successivamente, il programma di installazione tenta di scaricare un’immagine PNG da diversi domini Command and Control (C&C).
All’interno del file PNG c’è un loader, IcedID crittografato con RC4 nascosto, inserito sfruttando una tecnica chiamata steganografia che gli permette di nascondersi da soluzioni di sicurezza come antivirus, sandbox di rilevamento di malware e strumenti di analisi statica.
Il programma di installazione, quindi, trasferisce il controllo allo shellcode decrittografato da RC4 che si inserisce in altri processi creando un processo sospeso, scrivendo lo shellcode nella memoria del processo, impostando un thread APC (Asynchronous Procedure Call) per trasferire il controllo allo shellcode e, infine, chiamando NtResumeThread per completare l’inserimento del processo.
Il processo incriminato, solitamente, si chiama msiexec.exe o svchost.exe, entrambi processi firmati digitalmente da un noto certificato Microsoft, che ne rende più difficile il rilevamento.
Fatto ciò, lo shellcode percorre la struttura PEB (Process Environment Block), confrontando un hash con i nomi delle funzioni recuperati al fine di creare una risoluzione dinamica.
Così il malware si nasconde agli antivirus
Per rendere le cose più difficili per i controlli anti malware e per i ricercatori sulla sicurezza, questa tecnica sfruttata da IcedID crea dinamicamente una tabella di importazione senza stringhe associate ai nomi delle funzioni in memoria.
Lo fa utilizzando il PEB, una struttura di dati all’interno della memoria del processo per contenere le informazioni sui processi correnti.
IcedID esegue quindi la scansione attraverso il PEB, enumerando tutti i nomi delle funzioni del modulo, e trova le funzioni necessarie e le memorizza in variabili per un uso successivo.
Con il malware completamente in esecuzione nel sistema operativo, il processo andrà alla ricerca di obiettivi all’interno del sistema per procedere al furto di credenziali e alla trasmissione degli stessi ai cybercriminali.
Tuttavia, deve anche continuare a resistere all’analisi ed eludere il rilevamento da parte del software antivirus.
Come difendersi da IcedID
È importante sottolineare che il trojan bancario IcedID è entrato nella top 10 dei malware più diffusi al mondo e in Italia, come certificato dal CERT-AgID.
E non poteva essere diversamente, visto che si tratta di un trojan particolarmente evasivo in grado, come abbiamo visto, di utilizzare una serie di tecniche per rubare i dati finanziari.
In particolare le aziende, quindi, devono essere sicure di disporre di sistemi di sicurezza robusti per evitare che le proprie reti vengano compromesse e per minimizzare i rischi.
Inoltre, viste le caratteristiche tecniche di IcedID e le metodologie di diffusione, è opportuno ricordare che una formazione completa per tutti i dipendenti è fondamentale, così da dotarli delle competenze necessarie per identificare i tipi di e-mail dannose che diffondono IcedID e altri malware.
