IcoScript, el troyano que se comunica por correo web con sus creadores

IcoScript, el troyano que se comunica por correo web con sus creadores

IcoScript, el troyano que se comunica por correo web con sus creadores - IcoScript-Troyano-G-Data

IcoScript es un nuevo malware que es capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados. Puesto que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones. Los expertos en seguridad de G Data han llamado a este malware Win32,Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.

Recibe comandos y envía información del equipo por email

Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto en su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios del webmail a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Y, de igual modo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y, por ejemplo, enviar datos robados del equipo infectado a su servidor remoto.

Como los servicios de mensajería web rara vez se bloquean en las empresas, las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación, como explica Ralf Bezmüller, responsable de G Data Security Labs. IcoScript podría servirse también de Gmail y Outlook.com. Pero incluso plataformas como Linkedin, Facebook y otras redes sociales podían usarse de esta forma fraudulenta.

Win32.Trojan.IcoScript.A

El malware Win32.Trojan.IcoScript.A inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con S.O. Windows. Por regla general, el código es relativamente sencilla para las soluciones de seguridad. IcoScript, sin embargo, se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir plug-ins y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.

Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G Data detecta la amenaza). Además, esto tiene una ventaja añadida pues los creadores del malware no tienen que preocuparse sobre las configuraciones de la red al utilizar los protocolos de comunicación configurados en el propio navegador. La versatilidad del malware, que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa, advierte Ralf Benzmüller, responsable de G Data SecurityLabs. IcoScript demuestra una vez más la enorme capacidad de respuesta una vez más la enorme capacidad de respuesta de los cibercriminales a los nuevos mecanismos de seguridad.

Puedes ver el análisis completo de este virus en Virus Bulletin.