Latrodectus é o novo terror digital
20 de Maio de 2024

Pesquisadores de cibersegurança observaram um aumento nas campanhas de phishing por e-mail a partir do início de março de 2024, que entregam o Latrodectus, um loader de malware nascente que é acreditado ser o sucessor do malware IcedID.

"Essas campanhas tipicamente envolvem uma cadeia de infecção reconhecível envolvendo arquivos JavaScript de tamanho excessivo que utilizam a capacidade do WMI de invocar o msiexec.exe e instalar um arquivo MSI hospedado remotamente, localizado em um compartilhamento WEBDAV", disseram os pesquisadores da Elastic Security Labs, Daniel Stepanic e Samir Bousseaden.

O Latrodectus vem com capacidades padrão que são típicas de malwares projetados para implantar payloads adicionais, como QakBot, DarkGate e PikaBot, permitindo que os atores de ameaças realizem diversas atividades pós-exploração.

Uma análise dos artefatos mais recentes do Latrodectus revelou um foco extensivo em enumeração e execução, além da incorporação de uma técnica de autodeleção para excluir arquivos em execução.

O malware, além de se disfarçar como bibliotecas associadas a softwares legítimos, utiliza ofuscação de código-fonte e executa verificações anti-análise para evitar que sua execução prossiga em um ambiente de depuração ou sandbox.

O Latrodectus também estabelece persistência em hosts Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) via HTTPS para receber comandos que permitem coletar informações do sistema; atualizar, reiniciar e terminar a si mesmo; e executar shellcode, arquivos DLL e executáveis.

Dois novos comandos adicionados ao malware desde sua emergência no final do ano passado incluem a capacidade de enumerar arquivos no diretório desktop e recuperar toda a ancestralidade de processos em execução da máquina infectada.

Ele ainda suporta um comando para baixar e executar IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento no campo.

"Definitivamente há algum tipo de conexão de desenvolvimento ou arranjo de trabalho entre IcedID e Latrodectus", disseram os pesquisadores.

Uma hipótese sendo considerada é que LATRODECTUS está sendo ativamente desenvolvido como um substituto para IcedID, e o manipulador (#18) foi incluído até que os autores do malware estivessem satisfeitos com as capacidades do Latrodectus.

Esse desenvolvimento ocorre à medida que a Forcepoint dissecou uma campanha de phishing que utiliza iscas de e-mail com temas de faturas para entregar o malware DarkGate.

A cadeia de ataque começa com e-mails de phishing posando como faturas do QuickBooks, instando os usuários a instalar o Java clicando em um link inserido que leva a um arquivo JAR (Java Archive) malicioso.

O arquivo JAR age como um conduto para executar um script PowerShell responsável por baixar e lançar o DarkGate via um script AutoIT.

Campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma como serviço de phishing (PhaaS) chamada Tycoon para colher cookies de sessão do Microsoft 365 e Gmail e burlar proteções de autenticação multifator (MFA).

"Esta nova versão se gaba de possuir capacidades aprimoradas de evasão de detecção que tornam ainda mais difícil para os sistemas de segurança identificar e bloquear o kit", disse a Proofpoint.

Alterações significativas no código JavaScript e HTML do kit foram implementadas para aumentar sua furtividade e eficácia. Isso inclui técnicas de ofuscação para tornar o código-fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que ele é executado, evitando assim sistemas de detecção baseados em assinatura.

Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram anúncios do Google que se passavam por Calendly e Rufus para propagar outro loader de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de cibercrime em janeiro de 2024, e finalmente soltar Raccoon Stealer e DanaBot.

"O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando certificados [de Validação Estendida] para burlar medidas de segurança confiáveis", a empresa de cibersegurança eSentire observou no final do mês passado.

A divulgação também segue a emergência de novas famílias de malware do tipo stealer, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo enquanto o trojan de acesso remoto (RAT) Remcos foi visto usando um módulo PrivateLoader para aumentar suas capacidades.

"Instalando scripts VB, alterando o registro e configurando serviços para reiniciar o malware em tempos variáveis ou por controle, o malware [Remcos] é capaz de infiltrar completamente um sistema e permanecer não detectado", disse a equipe de pesquisa de ameaças da SonicWall Capture Labs.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...