IcoScript, un sofisticado troyano que se comunica con sus creadores a través de 'webmail'

---

•Crea sus propios mensajes de correo electrónico y envia datos robados a un servidor remoto



A través de Internet Explorer:



IcoScript es un nuevo e inusual tipo de 'malware' capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados.



Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.



El malware aprovecha que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones.



USO MALICIOSO DE WEBMAIL:



Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de 'webmail' a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control.



Asimismo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y enviar datos robados del equipo infectado a su servidor remoto.



Las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad.



El código es modular y "su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación", como explica el responsable de G DATA Securty Labs, Ralf Benzmüller, que ha reconocido también que "incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta".



EL CÓDIGO EN DETALLE



El 'malware' IcoScript inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con Windows. IcoScript se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir 'plug-ins' y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.



Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario (las soluciones de G DATA detectan la amenaza)."La versatilidad del 'malware', que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa", advierte Ralf Benzmüller.



ANÁLISIS COMPLETO EN VIRUS BULLETIN



Los análisis realizados por G DATA han sido publicados en la revista británica especializada en seguridad informática Virus Bulletin: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript bajo el título IcoScript: Using Webmail to control 'malware'."Virus Bulletin desempeña un papel importante en la industria y cuenta con una excelente reputación por su independencia y la rigurosidad de la información que aporta sobre seguridad informática y 'malware'", explica Ralf Benzmüller





Ver mas informacion al respecto en Fuente:



http://www.telecinco.es/informativos/tecnologia/IcoScript-sofisticado-troyano-comunica-creadores_0_1853250165.html



Informe del preanalisis de virustotal:



MD5 2c80a0afeceed501a943ef354f4b7dbe

SHA1 46b0d48c286aaf4eaca37c751a081682c022f665

Tamaño del fichero 64.0 KB ( 65536 bytes )

SHA256: d0d140bb8265ad2f4b0bcec423e1cda012ce9dbb087940aa6b585705491128fb

Nombre: host.exe

Detecciones: 34 / 54

Fecha de análisis: 2014-08-08 08:18:29 UTC



0 1





Antivirus Resultado Actualización

AVG Generic27.CIIM 20140808

AVware Trojan.Win32.Generic!BT 20140808

Ad-Aware Trojan.Generic.7641086 20140808

Agnitum Trojan.Vilsel!zftj7iNo6mE 20140807

AntiVir TR/ATRAPS.Gen 20140808

Antiy-AVL Trojan/Win32.Vilsel 20140808

Avast Win32:Malware-gen 20140807

Baidu-International Trojan.Win32.Vilsel.cC 20140808

BitDefender Trojan.Generic.7641086 20140808

Bkav W32.Clodff8.Trojan.3079 20140808

Comodo UnclassifiedMalware 20140808

DrWeb Trojan.StartPage.45136 20140808

Emsisoft Trojan.Generic.7641086 (B) 20140808

F-Secure Trojan.Generic.7641086 20140808

Fortinet W32/Vilsel.BJRU!tr 20140808

GData Trojan.Generic.7641086 20140808

Ikarus Trojan.Win32.Vilsel 20140808

Jiangmin Trojan/Generic.agggm 20140808

Kaspersky Trojan.Win32.Vilsel.bjru 20140808

Kingsoft Win32.Troj.Vilsel.(kcloud) 20140808

McAfee Artemis!2C80A0AFECEE 20140808

MicroWorld-eScan Trojan.Generic.7641086 20140808

Microsoft Trojan:Win32/Vilsel.C 20140808

NANO-Antivirus Trojan.Win32.Vilsel.sskzp 20140808

Panda Generic Trojan 20140807

Qihoo-360 HEUR/Malware.QVM07.Gen 20140808

Sophos Troj/Mdrop-EHJ 20140808

Symantec Trojan.Icoscript 20140808

Tencent Win32.Trojan.Vilsel.Htme 20140808

TrendMicro TROJ_SPNR.30ID12 20140808

TrendMicro-HouseCall TROJ_SPNR.30ID12 20140808

VBA32 Trojan.Vilsel 20140807

VIPRE Trojan.Win32.Generic!BT 20140808

nProtect Trojan.Generic.7641086 20140807



saludos



ms, 2-9-2014