s0483-icedid - RunkIntel

# IcedID (BokBot) - Banking Trojan Evoluindo para Loader de Ransomware > **ATIVO | Banking Trojan / Loader | Windows | Global** - IcedID (aka BokBot) e um malware modular ativo desde 2017, originalmente classificado como banking trojan e progressivamente evoluindo para loader de payloads de segunda etapa, especialmente ransomware. Desenvolvido pelo ator LUNAR SPIDER, em 2023 gerou variantes derivadas (Lite e Forked) que removeram funcionalidades bancarias em favor de entrega pura de ransomware. Em 2024, os desenvolvedores criaram o [[s1160-latrodectus|Latrodectus]] como substituto direto. ## Visão Geral **IcedID** foi identificado pela primeira vez em 2017 como banking trojan modular projetado para roubo de informações financeiras. Ao longo de 2022-2023, o landscape evoluiu: o IcedID foi usado como pre-cursor de ransomware (Conti, Quantum, Ryuk), e novas variantes removeram funcionalidades de banking fraud em favor de entrega de payloads mais eficiente. O ator LUNAR SPIDER (também conhecido como GOLD CABIN) e identificado como desenvolvedor e operador principal. O malware foi historicamente distribuido via [[s0367-emotet|Emotet]] em múltiplas campanhas, tornando-o parte de uma cadeia longa de comprometimentos. Em novembro de 2023, os desenvolvedores do IcedID lancaram o [[s1160-latrodectus|Latrodectus]] - um novo malware com funcionalidades similares mas arquitetura renovada, apontando para a transicao gradual da base de usuarios do IcedID. | Campo | Detalhe | |-------|---------| | **Tipo** | Banking Trojan / Loader | | **Desenvolvedor** | LUNAR SPIDER (GOLD CABIN) | | **Primeira observacao** | 2017 | | **Status** | Ativo - transicionando para Latrodectus como substituto | | **Variacoes** | Standard, Lite (nov/2022), Forked (fev/2023) | | **IABs documentados** | TA551, TA577, TA578, TA581 | ## Tres Variantes - Evolução em 2022-2023 ### Standard IcedID (2017-presente) Variante original - funciona como banking trojan tradicional com web injects e backconnect. Consiste em loader inicial que contata um C2, baixa o DLL Loader padrao, que entrega o IcedID Bot com funcionalidade completa. ### IcedID Lite (nov/2022 - presente) Primeiro observado como payload entregue pelo [[s0367-emotet|Emotet]]. Loader com URL estática para download de "Bot Pack" (botpack.dat). Entrega versao Forked do IcedID Bot - **sem web injects e sem backconnect** (funcionalidade bancaria removida). Foco em payload delivery puro. ### IcedID Forked (fev/2023 - presente) Variante distribuida por TA581 e outros IABs via Microsoft OneNote e arquivos .URL. Combina o mecanismo de gating do Standard (verifica se e maquina real antes de entregar bot) com funcionalidade reduzida do Lite. Objetivo principal: entrega eficiente de ransomware sem overhead bancario. ## Como Funciona A arquitetura do IcedID separa loader e bot em componentes com C2s distintos - mecanismo que permite ao operador controlar quais maquinas recebem o payload final: ```mermaid graph TB A["📧 Distribuição via Emotet Phishing / Drive-by T1189 / T1566.002"] A --> B["📦 Loader Initial MSIExec T1218.007 Rundll32 T1218.011"] B --> C["🔍 Verificação de ambiente Sandbox evasion T1497 Language check T1614.001 Security SW T1518.001"] C --> D["⬇ Download IcedID Bot Encrypted/Encoded T1027.013 Embedded payloads T1027.009"] D --> E["🤖 IcedID Bot ativo Process Hollowing T1055.012 Scheduled Task T1053.005"] E --> F["🔍 Reconhecimento AD Domain Trust T1482 Permission Groups T1069"] F --> G["💀 Payload de segunda etapa Ransomware (Conti/Quantum/Ryuk) Cobalt Strike / Lateral movement"] classDef delivery fill:#e74c3c,color:#fff classDef loader fill:#e67e22,color:#fff classDef evasion fill:#f39c12,color:#fff classDef bot fill:#3498db,color:#fff classDef recon fill:#27ae60,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B loader class C evasion class D loader class E bot class F recon class G impact ``` ## Timeline ```mermaid timeline title IcedID - Linha do Tempo 2017 : Primeira observacao como banking trojan 2019-2021 : Distribuido amplamente via Emotet 2022 : Mudanca na configuração do loader - atribuicao mais dificil 2022-11 : Variante IcedID Lite entregue pelo Emotet 2023-02 : Variante Forked observada (TA581) - sem função bancaria 2023-03 : Proofpoint publica Fork in the Ice - análise das 3 variantes 2023-11 : Latrodectus identificado - substituto em desenvolvimento 2024-01 : Latrodectus em multiplas campanhas - transicao em andamento 2024 : IcedID continua ativo junto com Latrodectus ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1189-drive-by-compromise\|T1189]] | Drive-by download em sites comprometidos | | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em campanhas de spam | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Execução pelo usuario de arquivo malicioso | | Execução | [[t1218-007-msiexec\|T1218.007]] | MSIExec para carregar loader DLL | | Execução | [[t1218-011-rundll32\|T1218.011]] | Rundll32 para execução do loader | | Evasão | [[t1497-virtualizationsandbox-evasion\|T1497]] | Verificacoes anti-sandbox | | Evasão | [[t1614-001-system-language-discovery\|T1614.001]] | Verifica locale do sistema (possível avoid PT-BR) | | Evasão | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Mascaramento em caminhos legitimos | | Evasão | [[t1027-013-encryptedencoded-file\|T1027.013]] | Bot entregue criptografado (PNG com dados cifrados) | | Evasão | [[t1518-001-security-software-discovery\|T1518.001]] | Detecção de softwares de segurança | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task para persistência do bot | | Injecao | [[t1055-012-process-hollowing\|T1055.012]] | Bot injetado em svchost.exe | | Descoberta | [[t1482-domain-trust-discovery\|T1482]] | Mapeamento de dominios AD | | Descoberta | [[t1069-permission-groups-discovery\|T1069]] | Enumeracao de grupos de permissao | | Exfiltração | [[t1048-002-exfiltration-over-asymmetric-encrypted-non-c2-protocol\|T1048.002]] | Exfiltração via protocolo asimetrico | ## Relevância LATAM e Brasil O IcedID representa ameaça relevante para organizacoes brasileiras por dois mecanismos: 1. **Pre-cursor de ransomware de grande porte**: IcedID levou a infeccoes por Conti, Quantum e Ryuk - grupos que documentadamente atacam alvos brasileiros. Uma infecção por IcedID em ambiente corporativo deve ser tratada como precursor de comprometimento total. 2. **Verificação de idioma (T1614.001)**: O IcedID verifica o locale do sistema. Amostras analisadas podem evitar sistemas com locale PT-BR configurado - porém multinacionais com ambientes multilinguisticos no Brasil (locale EN-US nos servidores) permanecem totalmente vulneraveis. 3. **Cadeia Emotet**: O IcedID foi historicamente distribuido pelo [[s0367-emotet|Emotet]]. Durante os picos de atividade do Emotet (2019-2021), sistemas brasileiros foram atingidos. O retorno do Emotet em 2022 trouxe também risco renovado para o Brasil. 4. **Latrodectus como substituto**: Os desenvolvedores do IcedID criaram o [[s1160-latrodectus|Latrodectus]] em 2023 como substituto. O [[s1160-latrodectus|Latrodectus]] nao possui restricoes de locale documentadas, aumentando o risco para o Brasil. ## Detecção - Monitorar download de arquivos PNG por processos nao relacionados a navegadores (padrao de entrega do IcedID bot) - Detectar `svchost.exe` criado como processo filho de loaders DLL via Process Hollowing (memoria injetada) - Alertar sobre arquivos .URL e OneNote com links externos em ambientes corporativos - Monitorar MSIExec e Rundll32 carregando DLLs de diretorios temporarios - Identificar criação de Scheduled Tasks por processos nao esperados logo após execução de downloads - Inspecionar trafego de rede para C2s do IcedID (dois C2s distintos: loader C2 + bot C2) ## Relacoes - [[s0367-emotet|Emotet]] - distribuidor historico primario do IcedID - [[s1160-latrodectus|Latrodectus]] - substituto desenvolvido pelos mesmos autores (2023) - [[s1039-bumblebee|Bumblebee]] - outro loader utilizado por TA577 e TA578 no mesmo ecossistema - [[g0127-ta551|TA551]] - IAB que distribui IcedID ativamente - [[conti|Conti]] - ransomware final frequentemente deployado via IcedID - [[financial|financeiro]], [[technology|tecnologia]] - setores com maior risco ## Referências - [1] [MITRE ATT&CK - S0483](https://attack.mitre.org/software/S0483) - [2] [Proofpoint - Fork in the Ice: New Era of IcedID (2023)](https://www.proofpoint.com/us/blog/threat-insight/fork-ice-new-era-icedid) - [3] [Proofpoint - Latrodectus: Spider Bytes of Ice (2024)](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice) - [4] [The Hacker News - IcedID Malware Shifts Focus from Banking Fraud to Ransomware (2023)](https://thehackernews.com/2023/03/icedid-malware-shifts-focus-from.html) - [5] [Malpedia - win.icedid](https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid)