Clicky

Hackers utilizan formularios de contacto de sitios web para entregar el malware IcedID

malware IcedID

Emplean amenazas legales para intimidar a las víctimas, como que utilizaron sus imágenes o ilustraciones sin su consentimiento

Microsoft advirtió a las organizaciones sobre una campaña de ataque "única" que abusa de los formularios de contacto publicados en sitios web para enviar enlaces maliciosos a empresas a través de correos electrónicos que contienen falsas amenazas legales, en lo que es otro caso más de adversarios que abusan de la infraestructura legítima para montar campañas evasivas que eluden las protecciones de seguridad.

"Los correos electrónicos indican a los destinatarios que hagan clic en un enlace para revisar la supuesta evidencia detrás de sus acusaciones, pero en su lugar conducen a la descarga de IcedID, un malware que roba información", dijo el equipo de inteligencia de amenazas de la compañía en un artículo publicado el viernes pasado.

IceID es un troyano bancario basado en Windows que se utiliza para el reconocimiento y la exfiltración de credenciales bancarias, junto con características que le permiten conectarse a un servidor remoto de comando y control (C2) para implementar cargas útiles adicionales como ransomware y malware capaces de realizar ataques prácticos con el teclado, robar credenciales y moverse lateralmente a través de las redes afectadas.

email con malware IcedID

Los investigadores de Microsoft dijeron que los atacantes podrían haber utilizado una herramienta automatizada para entregar los correos electrónicos al abusar de los formularios de contacto de las empresas y eludir las protecciones CAPTCHA. Los propios correos electrónicos emplean amenazas legales para intimidar a las víctimas, alegando que los destinatarios "presuntamente utilizaron sus imágenes o ilustraciones sin su consentimiento, y que se emprenderán acciones legales contra ellos".

fases del malware IcedID

Al invocar un sentido de urgencia, la idea es llevar a la víctima a revelar información confidencial, hacer clic en un enlace incompleto o abrir un archivo malicioso. En esta cadena de infección, es un enlace a una página de sites.google.com, que requiere que los usuarios inicien sesión con sus credenciales de Google, luego de lo cual se descarga automáticamente un archivo ZIP.

El archivo ZIP contiene un archivo JavaScript muy ofuscado que descarga el malware IcedID. Además, el código malicioso tiene la capacidad de descargar implantes secundarios como Cobalt Strike, lo que podría poner en mayor riesgo a las víctimas afectadas.

A pesar de la nueva ruta de intrusión, los ataques son otra señal más de cómo los actores de amenazas modifican constantemente sus tácticas de ingeniería social para apuntar a empresas con la intención de distribuir malware mientras evitan la detección.

"Los escenarios ofrecen una seria visión de cómo han crecido las sofisticadas técnicas de los atacantes, mientras se mantiene el objetivo de entregar cargas útiles de malware peligroso como IcedID", dijeron los investigadores. "Su uso en formularios de contacto es notable porque los correos electrónicos no tienen las marcas típicas de mensajes maliciosos y aparentemente son legítimos".

Jesus_Caceres