IcedID / BokBot
¿Qué es IcedID / BokBot?
IcedID / BokBotTroyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum.
IcedID, tambien conocido como BokBot, aparecio en 2017 dirigido a clientes bancarios y de comercio electronico en Norteamerica y Europa. Distribuido principalmente mediante adjuntos ISO, IMG y OneNote maliciosos, archivos protegidos con contrasena y anuncios envenenados por SEO, ofrece acceso backdoor, inyecciones web en navegadores, modulos VNC y proxy SOCKS. Con el tiempo paso a actuar como cargador para intrusiones manuales, soltando Cobalt Strike, Atera RMM y ransomware como Quantum, Conti y Dagon Locker. Microsoft y Proofpoint lo siguen como un toolkit en evolucion usado por varios clusters afiliados. Las defensas se apoyan en AppLocker, MOTW, montaje restringido de ISO y politicas de tipos de archivo en correo.
● Ejemplos
- 01
Una infeccion de IcedID a partir de una falsa factura ISO acaba en cifrado por Quantum en 48 horas.
- 02
Un SOC bloquea adjuntos ISO e IMG en correo y reduce drasticamente las intrusiones manuales con IcedID en 2023.
● Preguntas frecuentes
¿Qué es IcedID / BokBot?
Troyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa IcedID / BokBot?
Troyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum.
¿Cómo funciona IcedID / BokBot?
IcedID, tambien conocido como BokBot, aparecio en 2017 dirigido a clientes bancarios y de comercio electronico en Norteamerica y Europa. Distribuido principalmente mediante adjuntos ISO, IMG y OneNote maliciosos, archivos protegidos con contrasena y anuncios envenenados por SEO, ofrece acceso backdoor, inyecciones web en navegadores, modulos VNC y proxy SOCKS. Con el tiempo paso a actuar como cargador para intrusiones manuales, soltando Cobalt Strike, Atera RMM y ransomware como Quantum, Conti y Dagon Locker. Microsoft y Proofpoint lo siguen como un toolkit en evolucion usado por varios clusters afiliados. Las defensas se apoyan en AppLocker, MOTW, montaje restringido de ISO y politicas de tipos de archivo en correo.
¿Cómo defenderse de IcedID / BokBot?
Las defensas contra IcedID / BokBot combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para IcedID / BokBot?
Nombres alternativos comunes: BokBot.
● Términos relacionados
- malware№ 084
Troyano bancario
Malware diseñado para robar credenciales de banca en línea y autorizar transferencias fraudulentas, normalmente mediante web injects, captura de formularios o superposiciones.
- malware№ 621
Loader
Malware que prepara el entorno y carga cargas posteriores —a menudo directamente en memoria— para la siguiente fase de un ataque.
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacion adversaria ampliamente usada en operaciones de red team y frecuentemente abusada por atacantes para post-explotacion y mando y control.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.