IcoScript, un sofisticado troyano que se comunica con sus creadores a través de ‘webmail’
Crea sus propios mensajes de correo electrónico y envia datos robados a un servidor remoto
A través de Internet Explorer:
IcoScript es un nuevo e inusual tipo de ‘malware’ capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados.
Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.
El malware aprovecha que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones.
USO MALICIOSO DE WEBMAIL:
Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de ‘webmail’ a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control.
Asimismo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y enviar datos robados del equipo infectado a su servidor remoto.
Las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad.
El código es modular y «su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación», como explica el responsable de G DATA Securty Labs, Ralf Benzmüller, que ha reconocido también que «incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta».
EL CÓDIGO EN DETALLE
El ‘malware’ IcoScript inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con Windows. IcoScript se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir ‘plug-ins’ y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.
Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G DATA detectan la amenaza).»La versatilidad del ‘malware’, que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa», advierte Ralf Benzmüller.
ANÁLISIS COMPLETO EN VIRUS BULLETIN
Los análisis realizados por G DATA han sido publicados en la revista británica especializada en seguridad informática Virus Bulletin: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript bajo el título IcoScript: Using Webmail to control ‘malware’.»Virus Bulletin desempeña un papel importante en la industria y cuenta con una excelente reputación por su independencia y la rigurosidad de la información que aporta sobre seguridad informática y ‘malware'», explica Ralf Benzmüller
Ver mas informacion al respecto en Fuente:
Informe del preanalisis de virustotal:
MD5 2c80a0afeceed501a943ef354f4b7dbe
SHA1 46b0d48c286aaf4eaca37c751a081682c022f665
Tamaño del fichero 64.0 KB ( 65536 bytes )
SHA256: d0d140bb8265ad2f4b0bcec423e1cda012ce9dbb087940aa6b585705491128fb
Nombre: host.exe
Detecciones: 34 / 54
Fecha de análisis: 2014-08-08 08:18:29 UTC
0 1
Antivirus Resultado Actualización
AVG Generic27.CIIM 20140808
AVware Trojan.Win32.Generic!BT 20140808
Ad-Aware Trojan.Generic.7641086 20140808
Agnitum Trojan.Vilsel!zftj7iNo6mE 20140807
AntiVir TR/ATRAPS.Gen 20140808
Antiy-AVL Trojan/Win32.Vilsel 20140808
Avast Win32:Malware-gen 20140807
Baidu-International Trojan.Win32.Vilsel.cC 20140808
BitDefender Trojan.Generic.7641086 20140808
Bkav W32.Clodff8.Trojan.3079 20140808
Comodo UnclassifiedMalware 20140808
DrWeb Trojan.StartPage.45136 20140808
Emsisoft Trojan.Generic.7641086 (B) 20140808
F-Secure Trojan.Generic.7641086 20140808
Fortinet W32/Vilsel.BJRU!tr 20140808
GData Trojan.Generic.7641086 20140808
Ikarus Trojan.Win32.Vilsel 20140808
Jiangmin Trojan/Generic.agggm 20140808
Kaspersky Trojan.Win32.Vilsel.bjru 20140808
Kingsoft Win32.Troj.Vilsel.(kcloud) 20140808
McAfee Artemis!2C80A0AFECEE 20140808
MicroWorld-eScan Trojan.Generic.7641086 20140808
Microsoft Trojan:Win32/Vilsel.C 20140808
NANO-Antivirus Trojan.Win32.Vilsel.sskzp 20140808
Panda Generic Trojan 20140807
Qihoo-360 HEUR/Malware.QVM07.Gen 20140808
Sophos Troj/Mdrop-EHJ 20140808
Symantec Trojan.Icoscript 20140808
Tencent Win32.Trojan.Vilsel.Htme 20140808
TrendMicro TROJ_SPNR.30ID12 20140808
TrendMicro-HouseCall TROJ_SPNR.30ID12 20140808
VBA32 Trojan.Vilsel 20140807
VIPRE Trojan.Win32.Generic!BT 20140808
nProtect Trojan.Generic.7641086 20140807
saludos
ms, 2-9-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Los comentarios están cerrados.