IcedID / BokBot
O que é IcedID / BokBot?
IcedID / BokBotTrojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum.
O IcedID, tambem conhecido como BokBot, surgiu em 2017 visando clientes bancarios e de e-commerce na America do Norte e Europa. Distribuido sobretudo por anexos maliciosos ISO, IMG e OneNote, arquivos protegidos por palavra-passe e anuncios envenenados por SEO, oferece acesso backdoor, web injects, modulos VNC e SOCKS. Com o tempo migrou para ser um loader para intrusoes manuais, implantando Cobalt Strike, Atera RMM e ransomware como Quantum, Conti e Dagon Locker. Microsoft e Proofpoint acompanham-no como toolkit em evolucao usado por varios clusters afiliados. Os defensores apoiam-se em AppLocker, MOTW, restricao de montagem de ISO e politicas de tipos de ficheiro no email.
● Exemplos
- 01
Uma infecao IcedID a partir de uma factura falsa em ISO desencadeia uma cifragem Quantum em 48 horas.
- 02
Um SOC bloqueia anexos ISO e IMG no email e reduz drasticamente as intrusoes manuais IcedID em 2023.
● Perguntas frequentes
O que é IcedID / BokBot?
Trojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum. Pertence à categoria Malware da cibersegurança.
O que significa IcedID / BokBot?
Trojan bancario modular e loader observado pela primeira vez em 2017 que se tornou precursor frequente de implantacoes de ransomware por grupos como Conti e Quantum.
Como funciona IcedID / BokBot?
O IcedID, tambem conhecido como BokBot, surgiu em 2017 visando clientes bancarios e de e-commerce na America do Norte e Europa. Distribuido sobretudo por anexos maliciosos ISO, IMG e OneNote, arquivos protegidos por palavra-passe e anuncios envenenados por SEO, oferece acesso backdoor, web injects, modulos VNC e SOCKS. Com o tempo migrou para ser um loader para intrusoes manuais, implantando Cobalt Strike, Atera RMM e ransomware como Quantum, Conti e Dagon Locker. Microsoft e Proofpoint acompanham-no como toolkit em evolucao usado por varios clusters afiliados. Os defensores apoiam-se em AppLocker, MOTW, restricao de montagem de ISO e politicas de tipos de ficheiro no email.
Como se defender contra IcedID / BokBot?
As defesas contra IcedID / BokBot costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para IcedID / BokBot?
Nomes alternativos comuns: BokBot.
● Termos relacionados
- malware№ 084
Trojan bancário
Malware concebido para roubar credenciais de banca online e autorizar transações fraudulentas, normalmente através de web injects, captura de formulários ou sobreposições.
- malware№ 621
Loader
Malware que prepara o ambiente e carrega cargas posteriores — frequentemente diretamente em memória — para a fase seguinte de um ataque.
- malware№ 900
Ransomware
Malware que cifra os dados da vítima ou bloqueia sistemas e exige pagamento para restaurar o acesso.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacao de adversarios amplamente usada em operacoes de red team e frequentemente abusada por atacantes para pos-exploracao e comando e controle.
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.