Um malware relativamente novo, conhecido como Latrodectus, acredita-se ser uma evolução do carregador IcedID, observado em campanhas de email maliciosas desde novembro de 2023.
O malware foi identificado por pesquisadores da Proofpoint e da Team Cymru, que trabalharam em conjunto para documentar suas capacidades, ainda instáveis e experimentais.
O IcedID é uma família de malware identificada pela primeira vez em 2017, originalmente classificada como um trojan bancário modular projetado para roubar informações financeiras de computadores infectados.
Com o tempo, tornou-se mais sofisticado, adicionando capacidades de evasão e execução de comandos.
Nos últimos anos, atuou como um carregador capaz de entregar outros tipos de malware, incluindo ransomware, nos sistemas infectados.
A partir de 2022, várias campanhas do IcedID demonstraram táticas de entrega diversificadas, mas o método principal de distribuição permaneceu sendo emails maliciosos.
No final de 2022, novas variantes do malware foram usadas em ataques, que experimentaram diversos truques de evasão e novos conjuntos de ataques.
Em fevereiro de 2024, um dos líderes por trás da operação do IcedID declarou-se culpado nos Estados Unidos, enfrentando 40 anos de prisão.
Pesquisadores da Proofpoint e da Team Cymru acreditam agora que os desenvolvedores do IcedID criaram o Latrodectus após notarem que compartilhavam infraestrutura e sobreposições operacionais.
Se o Latrodectus acabará substituindo o IcedID ainda é cedo para dizer.
No entanto, os pesquisadores afirmam que os corretores de acesso inicial (TA577 e TA578) que previamente distribuíam o IcedID, agora começaram a distribuir o Latrodectus em campanhas de phishing com maior frequência.
O Latrodectus foi identificado em novembro de 2023, usado pelos agentes de ameaças rastreados como TA577 e TA578, com um aumento notável nas implementações observadas em fevereiro e março de 2024.
O agente de ameaças inicia o ataque preenchendo formulários de contato online para enviar notificações falsas de violação de direitos autorais às organizações alvo.
O BleepingComputer já relatou anteriormente sobre campanhas semelhantes, e para os proprietários de sites que não estão familiarizados com esse ataque de phishing, eles podem ser estressantes de receber e podem assustar os destinatários a clicar em links embutidos.
O link nas campanhas mais recentes leva a vítima para uma URL do Google Firebase que solta um arquivo JavaScript.
Quando executado, o arquivo JS usa o instalador do Windows (MSIEXEC) para executar um arquivo MSI de um compartilhamento WebDAV, que contém o payload DLL do Latrodecturs.
Diferente de seu predecessor, IcedID, o Latrodectus realiza várias verificações de evasão de sandbox antes de executar no dispositivo para evitar detecção e análise por pesquisadores de segurança.
As verificações incluem:
Se é Windows 10 ou mais novo, tem pelo menos 75 processos em execução
Se for mais antigo que Windows 10, tem pelo menos 50 processos em execução
Garantir que a aplicação de 64 bits está rodando em um host de 64 bits
Garantir que o host tenha um endereço MAC válido
Após as verificações do ambiente e do mutex necessários, o malware se inicializa enviando um relatório de registro da vítima para seus operadores.
O Latrodectus é capaz de baixar mais cargas maliciosas com base em instruções recebidas de um servidor de comando e controle (C2).
Os comandos que o Latrodectus suporta são:
Obter os nomes de arquivos na área de trabalho
Obter a lista de processos em execução
Enviar informações adicionais do sistema
Executar um arquivo executável
Executar uma DLL com uma exportação dada
Passar uma string para cmd e executá-la
Atualizar o bot e acionar um reinício
Desligar o processo em execução
Baixar "bp.dat" e executá-lo
Configurar uma flag para reiniciar o timing das comunicações
Resetar a variável contador usada nas comunicações
A infraestrutura do malware é separada em dois níveis distintos que seguem uma abordagem de operação dinâmica em relação ao envolvimento e ao tempo de vida da campanha, com a maioria dos novos C2 entrando online em direção ao final da semana antes dos ataques.
A Proofpoint conclui com um alerta sobre o Latrodectus, estimando uma alta probabilidade de o malware ser usado no futuro por vários agentes de ameaças que previamente distribuíam o IcedID.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...