IcoScript, un troyano que se comunica con sus creadores a través de webmail

IcoScript es un nuevo tipo de malware capaz de utilizar los servicios de correo web de portales como Yahoo! o Gmail para comunicarse con sus creadores y ejecutar comandos recibidos desde su servidor de control en los equipos infectados. Puesto que el acceso a los servicios de correo web rara vez se bloquea en las redes empresariales, este sofisticado troyano podría utilizarse de forma totalmente desapercibida en muchas organizaciones. Los expertos en seguridad de G Data han llamado a este malware Win32.Trojan.IcoScript.A.

Mientras que los troyanos usan habitualmente protocolos de comunicación específicos para establecer contacto con su servidor, IcoScript es capaz de manipular el navegador Internet Explorer para hacer un uso fraudulento de los servicios de webmail a través de los cuales se comunica con sus creadores y establece sus funciones de comando y control. Y, de igual modo, IcoScript también es capaz de crear sus propios mensajes de correo electrónico y, por ejemplo, enviar datos robados del equipo infectado a su servidor remoto.

Como los servicios de mensajería web rara vez se bloquean en las empresas, las posibilidades de acción de este código malicioso son amplias y difíciles de detectar durante los análisis de seguridad. El código es modular y “su forma de actuar no tendría por qué restringirse solo al webmail de Yahoo, pudiendo cambiar en cualquier momento de plataforma de comunicación”, como explica Ralf Benzmüller, responsable de G Data Security Labs. “IcoScript podría servirse también de Gmail y Outlook.com. Pero incluso plataformas como LinkedIN, Facebook y otras redes sociales podrían usarse de esta forma fraudulenta”, añadía.

El malware Win32.Trojan.IcoScript.A inició su actividad en 2012 y es una herramienta modular de administración remota (RAT, Remote Administration Tool) cuyo objetivo son equipos Windows. Por regla general, el código malicioso se autoinyecta en los procesos de las aplicaciones y su detección es relativamente sencilla para las soluciones de seguridad. IcoScript, sin embargo, se camufla y utiliza la interfaz de programación de Microsoft COM (Component Object Model), que, entre otras funciones, ofrece la posibilidad de escribir plug-ins y aplicaciones para el navegador, para conseguir acceso a Internet Explorer.

Esta característica proporciona a los ciberdelincuentes la posibilidad de comprometer el navegador de forma totalmente invisible para el usuario. Además, esto tiene una ventaja añadida, pues los creadores del malware no tienen que preocuparse sobre las configuraciones de la red al utilizar los protocolos de comunicación configurados en el propio navegador. “La versatilidad del malware, que integra sus actividades en flujos de procesos regulares, presenta grandes dificultades a los departamentos de seguridad y sistemas de defensa”, comenta Benzmüller, quien añade que “IcoScript demuestra una vez más la enorme capacidad de respuesta de los cibercriminales a los nuevos mecanismos de seguridad”.