IcedID / BokBot
¿Qué es IcedID / BokBot?
IcedID / BokBotTroyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum.
IcedID, tambien conocido como BokBot, aparecio en 2017 dirigido a clientes bancarios y de comercio electronico en Norteamerica y Europa. Distribuido principalmente mediante adjuntos ISO, IMG y OneNote maliciosos, archivos protegidos con contrasena y anuncios envenenados por SEO, ofrece acceso backdoor, inyecciones web en navegadores, modulos VNC y proxy SOCKS. Con el tiempo paso a actuar como cargador para intrusiones manuales, soltando Cobalt Strike, Atera RMM y ransomware como Quantum, Conti y Dagon Locker. Microsoft y Proofpoint lo siguen como un toolkit en evolucion usado por varios clusters afiliados. Las defensas se apoyan en AppLocker, MOTW, montaje restringido de ISO y politicas de tipos de archivo en correo.
● Ejemplos
- 01
Una infeccion de IcedID a partir de una falsa factura ISO acaba en cifrado por Quantum en 48 horas.
- 02
Un SOC bloquea adjuntos ISO e IMG en correo y reduce drasticamente las intrusiones manuales con IcedID en 2023.
● Preguntas frecuentes
¿Qué es IcedID / BokBot?
Troyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa IcedID / BokBot?
Troyano bancario modular y cargador visto por primera vez en 2017 que se convirtio en precursor principal de despliegues de ransomware de grupos como Conti y Quantum.
¿Cómo defenderse de IcedID / BokBot?
Las defensas contra IcedID / BokBot combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para IcedID / BokBot?
Nombres alternativos comunes: BokBot.