GETOVERX FORUM Community Support
IcedID (BokBot) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Troyanos (Trojans) (https://forum.getoverx.com/forumdisplay.php?fid=15)
+--- Thread: IcedID (BokBot) (/showthread.php?tid=107)

IcedID (BokBot) - mrwebfeeder - 12-05-2025

Nombre: IcedID (BokBot)

Categoría: Troyano bancario / Loader para otras amenazas

Fecha de descubrimiento: Primeros reportes públicos en 2017

Comportamiento (lo que hace y archivos que infecta):
- Comienza como troyano bancario con capacidades de inyección web en navegadores, modificando páginas y formularios para robar credenciales y datos financieros.
- Actúa como proxy entre el navegador y los sitios legítimos, interceptando y manipulando el tráfico para capturar información sensible.
- Ha evolucionado a puerta de entrada (loader) para ataques más complejos, incluyendo:
- Despliegue de ransomware.
- Descarga de otros troyanos o herramientas de administración remota.
- Vectores de infección típicos:
- Campañas de malspam con documentos de Office con macros.
- Archivos comprimidos con loaders.
- OneNote malicioso u otros formatos ofimáticos con contenido embebido.
- Una vez activo:
- Se comunica con un servidor de mando y control (C2) para descargar módulos adicionales.
- Roba credenciales almacenadas en navegadores y aplicaciones.
- Puede realizar reconocimiento básico del sistema para decidir qué payloads desplegar.
- Archivos afectados:
- Perfiles de navegador, cookies, sesiones y datos de autocompletar.
- Ficheros que contengan credenciales o tokens de acceso a servicios corporativos.
- Binarios y DLL temporales utilizados para sus distintos módulos y loaders.

Persistencia:
- Suele copiarse en rutas de usuario (por ejemplo en AppData) con nombres que imitan procesos legítimos.
- Configura claves de ejecución automática en el Registro (Run/RunOnce) y/o tareas programadas para mantenerse tras reinicios.
- En muchos incidentes recientes:
- Se utiliza principalmente como “puente”: se mantiene el tiempo suficiente para desplegar el siguiente malware (por ejemplo, un cifrador de ransomware).
- Puede actualizarse o reemplazarse por versiones nuevas descargadas desde el C2.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como IcedID:
Code:
ecd84fa8d836d5057149b2b3a048d75004ca1a1377fcf2f5e67374af3a1161a0

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema para localizar el loader de IcedID y sus módulos (DLL/EXE temporales).
    - Eliminar o poner en cuarentena:
    - Binarios principales.
    - Archivos temporales asociados al proceso de infección.
    - Revisar especialmente carpetas de usuario (AppData, Temp) y rutas con nombres sospechosos o recién creados.

  • Firewall:
    - Restringir conexiones salientes hacia dominios e IPs sospechosas, especialmente aquellos identificados como C2 de IcedID.
    - Aplicar listas de bloqueo y perfiles de firewall más estrictos en equipos bajo sospecha o que hayan mostrado actividad de IcedID.
    - Monitorizar conexiones persistentes o recurrentes hacia destinos poco habituales desde equipos de usuario.

  • HIPS / EDR:
    - Activar reglas para detectar:
    - Inyección en procesos de navegador (Chrome, Edge, Firefox, etc.).
    - Uso anómalo de PowerShell, Script Host (wscript/cscript) y herramientas similares para descargar y ejecutar contenido remoto.
    - Creación de nuevos procesos hijo que se conectan a Internet inmediatamente después de abrir documentos de Office o adjuntos de correo.
    - Configurar respuesta automática para:
    - Bloquear y matar el proceso sospechoso.
    - Registrar los eventos en los logs unificados para correlación posterior (endpoint + red).

  • Sandbox:
    - Analizar en Sandbox adjuntos de correo y documentos de Office/OneNote antes de permitir la ejecución en el entorno real.
    - Observar si:
    - Intentan contactar dominios/IPs desconocidos.
    - Ejecutan macros o scripts que descargan loaders.
    - Crean nuevas tareas programadas o claves de Registro de persistencia.

  • Remediación:
    - Tras la limpieza, forzar cambio de credenciales:
    - Bancarias.
    - VPN corporativas.
    - Correo electrónico.
    - Paneles de administración y otros servicios de alto valor.
    - Verificar que no se hayan desplegado payloads adicionales (ransomware, backdoors, herramientas de acceso remoto).
    - Revisar políticas de filtrado de correo y formación en phishing para reducir la probabilidad de reinfección.

Notas opcionales:
- IcedID compite en el mismo espacio que otras familias de troyanos bancarios/loader (Emotet, TrickBot, QakBot), por lo que con frecuencia se observa en cadenas de ataque orientadas a comprometer entornos corporativos y preparar despliegues de ransomware.