Los operadores de botnet de Trickbot y IcedID colaboran para aumentar el impacto
No fue hace mucho tiempo cuando diferentes programas maliciosos bancarios compitieron por las víctimas, a menudo buscándose y desinstalándose unos a otros en máquinas comprometidas. Ahora, en lo que puede indicar un cambio hacia una mayor colaboración entre los grupos de delitos informáticos, los operadores de los troyanos bancarios «IcedID» y «TrickBot» parecen haberse asociado y probablemente estén compartiendo las ganancias, según los detalles de la operación.
Los analistas de Flashpoint examinaron recientemente muestras que indican que las computadoras infectadas con IcedID también están descargando TrickBot, una prolífica pieza de malware bancario que los analistas consideran el sucesor del malware bancario «Dyre».
Los investigadores detectaron IcedID por primera vez en noviembre de 2017; El equipo de investigación de X-Force de IBM publicó un informe que afirma haber detectado este nuevo malware bancario que se propaga a través de campañas masivas de spam. Las computadoras comprometidas se infectaron primero con el descargador «Emotet», que luego tomó IcedID del dominio del atacante; Se cree que los ciberdelincuentes de habla rusa detrás de Emotet están compuestos por algunos de los operadores del troyano bancario “Dridex”. IcedID puede mantener la persistencia en las máquinas infectadas y se ha dirigido principalmente a empresas de los sectores de servicios financieros, comercio minorista y tecnología.
Parece que los atacantes ahora envían IcedID directamente como spam y que el malware actúa como un descargador que instala TrickBot, que a su vez instala otros módulos en las máquinas de las víctimas.
Si bien suele ser inusual encontrar dos familias de malware diferentes que infectan la misma máquina, los analistas de Flashpoint han determinado a través de la inteligencia de origen con conocimiento de las operaciones de ambas partes que hay indicios de una amplia colaboración entre estos dos operadores de fraude. Los estafadores humanos son fundamentales para este modelo de delito cibernético; los operadores de TrickBot, por ejemplo, aprovechan tanto los ataques automatizados como los operadores de fraude bien informados que revisan los datos comprometidos de las máquinas de las víctimas y pueden llevar a cabo operaciones de adquisición de cuentas (ATO) en tiempo real.
COLABORACIÓN DE TRICKBOT Y ICEDID FRAUD MASTER: EMBUDO DE MONETIZACIÓN
Incluso la organización de ciberdelincuentes más sofisticada no puede obtener recompensas financieras sin los recursos humanos necesarios para retirar las cuentas bancarias de las víctimas. La capacidad de los ciberdelincuentes para beneficiarse de los productos y servicios involucrados en el fraude financiero se basa en la disponibilidad de maestros del fraude, mulas de dinero y servicios relacionados.
La colaboración de TrickBot e IcedID le da a esta combinación capacidades significativas. Primero, los ataques son complejos; Si bien las principales capacidades de los malwares son el uso de capturadores de tokens, ataques de redirección e inyecciones web para robar credenciales bancarias, hay otros módulos a disposición de los operadores que les permiten tener una cobertura profunda de la máquina de la víctima y ampliar la amplitud y el alcance de un ataque, lo que les permite derivar fuentes potenciales de ganancias adicionales de un compromiso exitoso.
La clave de esta cobertura completa es la capacidad de realizar la verificación de la cuenta, o el relleno de credenciales, para determinar el valor de la máquina de una víctima y su acceso. Los atacantes pueden aprovechar los objetivos de mayor valor para la penetración de la red, por ejemplo, mientras que los atacantes pueden utilizar otros objetivos comprometidos para la minería de criptomonedas.
IcedID ha estado en estado salvaje desde abril de 2017 y originalmente se conocía como «BokBot»; este malware es exclusivamente una amenaza para Windows. Emotet estaba asociado con este malware y los operadores lo usaban principalmente como cargador y para mantener la persistencia a fin de instalar y ejecutar malware adicional, incluido un módulo de computación en red virtual (VNC) para administración remota y un módulo de derivación de antimalware. IcedID crea proxies que se utilizan para robar credenciales para una gran cantidad de sitios web que se encuentran principalmente en servicios financieros, aunque algunos sitios también corresponden al sector minorista y tecnológico. El proxy local intercepta el tráfico y utiliza una inyección web que roba los datos de inicio de sesión de la víctima.
TrickBot apunta a víctimas en una amplia gama de industrias al aprovechar múltiples módulos, incluidos exploits filtrados, y apunta a víctimas para diversas actividades maliciosas, como la minería de criptomonedas y operaciones ATO.
MANDO CENTRAL
El análisis lingüístico y una investigación sobre las operaciones de la botnet TrickBot e IcedID revela que la campaña que involucra una botnet pertenece a un pequeño grupo que encarga o compra el malware bancario, administra el flujo de infecciones, realiza pagos a los afiliados del proyecto (pastores de tráfico, webmasters, mule manipuladores), y recibe el producto del lavado. Flashpoint evalúa con gran confianza que un jefe de operaciones probablemente supervisa una red compleja de actores que probablemente se conocen solo por alias incluso después de años de trabajar juntos. Cada segmento del ecosistema, los llamados afiliados, son especialistas dentro de sus respectivos dominios. Mientras brindan valor al propietario de la botnet, actúan de forma independiente, empleando sus propias redes cerradas para realizar las tareas asignadas. La complejidad organizativa de estos proyectos, junto con las estrictas prácticas de seguridad ejercidas por todos a lo largo de la cadena de suministro, plantea un desafío importante para las investigaciones.
EL PAPEL DE BOTMASTER EN LAS OPERACIONES DE DELITOS CIBERNÉTICOS
La responsabilidad de monitorear la botnet, o la suma total de las actividades en línea de todas las víctimas, recae en el botmaster de TrickBot e IcedID. La actividad de un bot se registra en la base de datos de comando y control (C2) de acuerdo con los parámetros especificados en las preferencias del panel de control. El botmaster también acepta notificaciones XMPP o Jabber a través del campo «jabber_on» en el backend cuando las víctimas inician sesión en la página bancaria de interés. El botmaster luego proporciona un mensaje para los maestros de fraude una vez que se registra el inicio de sesión. El mensaje dice: «Intente iniciar sesión con: Inicio de sesión El botmaster puede optar por recibir notificaciones cuando una víctima accede solo a determinadas aplicaciones bancarias en línea. Si, por ejemplo, el proyecto se basa en instituciones financieras europeas o estadounidenses (posiblemente porque ahí es donde se concentran las capacidades de lavado de dinero del sindicato), recibirían notificaciones de Jabber basadas en su preferencia geográfica de retiro de efectivo. El botmaster decodifica los registros y los analiza en busca del contenido necesario. Los registros exportados pueden contener decenas de millones de líneas de datos, por lo que un botmaster probablemente empleará una aplicación de análisis para extraer los datos relevantes. Los troyanos bancarios avanzados como «Citadel» tienen un analizador de registros incorporado. Una vez que se extrae de los registros la información que consiste en las credenciales de inicio de sesión de la víctima, las respuestas a las preguntas secretas y la dirección de correo electrónico, se pasa a un afiliado que administra las operaciones del “mundo real”. La disparidad geográfica presenta un obstáculo para monetizar el acceso, aunque este problema generalmente se resuelve mediante el uso de servicios de dinero en efectivo. Las mulas abren cuentas bancarias en la ubicación geográfica de la víctima y en la misma institución financiera. Reciben una cámara de compensación de cuentas fraudulentas (ACH) y transferencias bancarias a su cuenta y envían las ganancias al propietario de la red de bots o al intermediario. Más arriba en la cadena, los manejadores de mulas dirigen las actividades de reclutamiento de mulas y lavado de dinero en una variedad de ubicaciones e instituciones financieras; muchos traficantes de mulas anuncian sus servicios en los foros de ciberdelincuencia. EVALUACIÓN Basado en la estrecha colaboración entre TrickBot y los operadores de IcedID y su infraestructura de backend compartida, Flashpoint evalúa con moderada confianza que los operadores probablemente continuarán colaborando estrechamente para cobrar cuentas robadas. Flashpoint también evalúa con moderada confianza que esta colaboración entre TrickBot y los operadores de IcedID puede indicar que los maestros del fraude y los desarrolladores de malware continúan fomentando las operaciones de fraude colaborativas dirigidas a las corporaciones en un intento de eludir las últimas medidas de detección antifraude.