De acuerdo con la empresa, IcoScript (Win32,Trojan.IcoScript.A) es un inusual tipo de malware capaz de utilizar los servicios de correo web de portales como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados.
Uso malicioso de webmail
Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto en su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios del webmail a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Y, de igual modo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y, por ejemplo, enviar datos robados del equipo infectado a su servidor remoto, detalló G Data.
Como los servicios de mensajería web rara vez se bloquean en las empresas, las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación, como explica Ralf Bezmüller, responsable de G Data Security Labs. “IcoScript podría servirse también de Gmail y Outlook.com. Pero incluso plataformas como Linkedin, Facebook y otras redes sociales podían usarse de esta forma fraudulenta”, advirtió Bezmüller.
El código en detalle
El malware Win32.Trojan.IcoScript.A inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con S.O. Windows. Por regla general, el código es relativamente sencilla para las soluciones de seguridad. IcoScript, sin embargo, se camufla y utiliza la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir plug-ins y aplicaciones para el navegador, para conseguir acceso a Internet Explorer, precisó la empresa.
Agregó que esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma invisible para el usuario. Además, esto tiene una ventaja añadida pues los creadores del malware no tienen que preocuparse sobre las configuraciones de la red al utilizar los protocolos de comunicación configurados en el propio navegador. “La versatilidad del malware, que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa”, mencionó Benzmüller, quien refirió que las soluciones de G Data detectan la amenaza.
