Anuncio de 29. agosto 2014

IcoScript, un sofisticado e inusual troyano que se comunica con sus creadores a través de webmail

La muestra analizada por G DATA usaba el correo web de Yahoo! para recibir las órdenes de comando y control de sus autores

IcoScript es un nuevo e inusual tipo de malware capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados. Puesto que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones. Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.

Uso malicioso de webmail

Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de webmail a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Y, de igual modo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y, por ejemplo, enviar datos robados del equipo infectado a su servidor remoto.

Como los servicios de mensajería web rara vez se bloquean en las empresas, las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y «su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación", como explica Ralf Benzmüller, responsable de G DATA Security Labs. «IcoScript podría servirse también de Gmail y Outlook.com. Pero incluso plataformas como LinkedIn, Facebook y otras redes sociales podrían usarse de forma fraudulenta».

El código en detalle

El malware Win32.Trojan.IcoScript.A inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con S.O Windows. Por regla general, el código malicioso se auto inyecta en los procesos de las aplicaciones y su detección es relativamente sencilla para las soluciones de seguridad. IcoScript, sin embargo, se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir plug-ins y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.

Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G DATA detectan la amenaza). Además, esto tiene una ventaja añadida pues los creadores del malware no tienen que preocuparse sobre las configuraciones de la red al utilizar los protocolos de comunicación configurados en el propio navegador. «La versatilidad del malware, que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa», advierte Ralf Benzmüller, responsable de G DATA Security Labs. «IcoScript demuestra una vez más la enorme capacidad de respuesta de los cibercriminales a los nuevos mecanismos de seguridad».

Análisis completo en Virus Bulletin

Los análisis realizados por G DATA han sido publicados en la revista británica especializada en seguridad informática Virus Bulletin bajo el título: «IcoScript: Using Webmail to control malware». «IcoScript es un código malicioso muy inusual. Celebramos que nuestro artículo haya sido incluido en una publicación como Virus Bulletin y lo entendemos como un reconocimiento a nuestro trabajo. Virus Bulletin desempeña un papel importante en la industria y cuenta con una excelente reputación por su independencia y la rigurosidad de la información que aporta sobre seguridad informática y malware», explica Ralf Benzmüller.

El artículo técnico está disponible en la web de Virus Bulletin o bien en formato pdf

Media:

Anuncio de 29. agosto 2014

Más información

G DATA Software España

Ignacio Heras

Public Relations Manager España

Francisco Giralte, 2  

28001 Madrid

Tel: +34 917 453 073

Mail: ignacio.heras@remove-this.gdata.es