IcoScript es un nuevo e inusual tipo de malware capaz de utilizar los servicios de correo web de portales tan conocidos como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados. Puesto que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones. Los expertos en seguridad de G DATA han llamado a este malware Win32.Trojan.IcoScript.A. y su análisis detallado ha sido publicado en la revista británica especializada Virus Bulletin.
Uso malicioso de webmail
Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de webmail a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Y, de igual modo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y, por ejemplo, enviar datos robados del equipo infectado a su servidor remoto.
Como los servicios de mensajería web rara vez se bloquean en las empresas, las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y «su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación», como explica Ralf Benzmüller, responsable de G DATA Security Labs. «IcoScript podría servirse también de Gmail y Outlook.com. Pero incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta».
El código en detalle
El malware Win32.Trojan.IcoScript.A inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son ordenadores con S.O Windows. Por regla general, el código malicioso se auto inyecta en los procesos de las aplicaciones y su detección es relativamente sencilla para las soluciones de seguridad. IcoScript, sin embargo, se camufla a la perfección y utiliza maliciosamente la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir plug-ins y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.
GDATA