Malware Latrodectus distribuido en campaña de phishing

Los investigadores de amenazas han descubierto un malware recientemente identificado llamado Latrodectus, que se ha distribuido a través de campañas de phishing por correo electrónico desde al menos finales de noviembre de 2023.

Descrito como un descargador emergente con múltiples funciones para evadir la detección en entornos sandbox, Latrodectus está diseñado para recuperar cargas útiles y ejecutar comandos, como se describe en un análisis conjunto reciente realizado por investigadores de Proofpoint y Team Cymru.

Hay indicios que sugieren que los creadores de Latrodectus probablemente sean los mismos responsables del desarrollo del malware IcedID. Los agentes de acceso inicial (IAB) utilizan este descargador para agilizar la implementación de malware adicional.

Latrodectus vinculado a dos APT

Latrodectus se asocia predominantemente con dos BIA distintos conocidos como TA577 (también conocido como Water Curupira) y TA578. TA577 ha estado previamente conectado a la difusión de QakBot y PikaBot.

Desde mediados de enero de 2024, TA578 ha utilizado predominantemente Latrodectus en campañas de amenazas por correo electrónico, a veces transmitidas a través de una infección de DanaBot.

TA578, operativo desde al menos mayo de 2020, ha estado involucrado en campañas de correo electrónico que entregan diversos malware como Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike y Bumblebee.

Modo de infiltración

La metodología de ataque normalmente implica el uso de formularios de contacto en sitios web para enviar amenazas legales relacionadas con supuestas infracciones de derechos de autor a las entidades objetivo. Los enlaces incrustados dirigen a los destinatarios a un sitio web engañoso y los persuaden a descargar un archivo JavaScript responsable de iniciar la carga útil principal utilizando msiexec.

Tras la infección, Latrodectus envía información cifrada del sistema a su servidor de comando y control (C2) y solicita la descarga del bot. Después de registrarse con el C2, espera comandos del servidor.

Latrodectus posee capacidades para detectar entornos aislados verificando la presencia de una dirección MAC válida y una cantidad suficiente de procesos en ejecución en sistemas que ejecutan Windows 10 o posterior.

De manera similar a IcedID, Latrodectus envía información de registro al servidor C2 mediante una solicitud POST, con los datos cifrados y parámetros HTTP concatenados. Luego espera más instrucciones del servidor.

Los comandos emitidos a Latrodectus le permiten enumerar archivos y procesos, ejecutar archivos binarios y DLL, ejecutar directivas arbitrarias a través de cmd.exe, actualizarse y finalizar procesos en ejecución.

Una investigación más profunda sobre la infraestructura del atacante revela que los servidores C2 iniciales se activaron el 18 de septiembre de 2023 y se comunicaron con un servidor de nivel 2 ascendente establecido alrededor de agosto de 2023.

La conexión entre Latrodectus e IcedID es evidente por el hecho de que el servidor de Nivel 2 mantiene conexiones con la infraestructura de backend vinculada a IcedID y emplea jump boxes previamente asociados con las operaciones de IcedID.