IcedID / BokBot
O que é IcedID / BokBot?
IcedID / BokBotTrojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum.
O IcedID, tambem conhecido como BokBot, surgiu em 2017 visando clientes bancarios e de e-commerce na America do Norte e Europa. Distribuido sobretudo por anexos maliciosos ISO, IMG e OneNote, arquivos protegidos por palavra-passe e anuncios envenenados por SEO, oferece acesso backdoor, web injects, modulos VNC e SOCKS. Com o tempo migrou para ser um loader para intrusoes manuais, implantando Cobalt Strike, Atera RMM e ransomware como Quantum, Conti e Dagon Locker. Microsoft e Proofpoint acompanham-no como toolkit em evolucao usado por varios clusters afiliados. Os defensores apoiam-se em AppLocker, MOTW, restricao de montagem de ISO e politicas de tipos de ficheiro no email.
● Exemplos
- 01
Uma infecao IcedID a partir de uma factura falsa em ISO desencadeia uma cifragem Quantum em 48 horas.
- 02
Um SOC bloqueia anexos ISO e IMG no email e reduz drasticamente as intrusoes manuais IcedID em 2023.
● Perguntas frequentes
O que é IcedID / BokBot?
Trojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum. Pertence à categoria Malware da cibersegurança.
O que significa IcedID / BokBot?
Trojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum.
Como se defender contra IcedID / BokBot?
As defesas contra IcedID / BokBot costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para IcedID / BokBot?
Nomes alternativos comuns: BokBot.