Utilizamos cookies propias y de terceros para mejorar nuestros servicios, analizar y personalizar tu navegación, mostrar publicidad y facilitarte publicidad relacionada con tus preferencias. Si sigues navegando por nuestra web, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información aquí.

IcoScript, el troyano que infecta a través de los portales de correo electrónico

troyanos, FakeInst, Kaspersky Lab , malware, dispositivos infectadoscuatro.com

IcoScript es un nuevo e inusual tipo de 'malware' capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados.

Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.
El malware aprovecha que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones.
USO MALICIOSO DE WEBMAIL
Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de 'webmail' a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control.
Asimismo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y enviar datos robados del equipo infectado a su servidor remoto.
Las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad.
El código es modular y "su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación", como explica el responsable de G DATA Securty Labs, Ralf Benzmüller, que ha reconocido también que "incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta".
EL CÓDIGO EN DETALLE
El 'malware' IcoScript inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con Windows. IcoScript se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir 'plug-ins' y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.
Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G DATA detectan la amenaza)."La versatilidad del 'malware', que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa", advierte Ralf Benzmüller.
ANÁLISIS COMPLETO EN VIRUS BULLETIN
Los análisis realizados por G DATA han sido publicados en la revista británica especializada en seguridad informática Virus Bulletin bajo el título IcoScript: Using Webmail to control 'malware'."Virus Bulletin desempeña un papel importante en la industria y cuenta con una excelente reputación por su independencia y la rigurosidad de la información que aporta sobre seguridad informática y 'malware'", explica Ralf Benzmüller.