Malware Latrodectus distribuído em campanha de phishing

Os investigadores de ameaças descobriram um malware recém-identificado chamado Latrodectus, que foi distribuído por meio de campanhas de phishing por e-mail desde pelo menos o final de novembro de 2023.

Descrito como um downloader emergente com vários recursos para evitar a detecção em ambientes sandbox, o Latrodectus foi projetado para buscar cargas úteis e executar comandos, conforme descrito em uma análise conjunta recente de pesquisadores da Proofpoint e Team Cymru.

Há indícios que sugerem que os criadores do Latrodectus são provavelmente os mesmos responsáveis pelo desenvolvimento do malware IcedID. Este downloader é utilizado por corretores de acesso inicial (IABs) para agilizar a implantação de malware adicional.

Latrodectus vinculado a dois APTs

Latrodectus está predominantemente associado a dois IABs distintos conhecidos como TA577 (também conhecido como Curupira de Água) e TA578. TA577 já esteve conectado anteriormente à disseminação de QakBot e PikaBot.

Em meados de janeiro de 2024, o Latrodectus tem sido utilizado predominantemente pelo TA578 em campanhas de ameaças por e-mail, às vezes transmitidas por meio de uma infecção DanaBot.

TA578, operacional desde pelo menos maio de 2020, esteve envolvido em campanhas de e-mail que entregam vários malwares, como Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike e Bumblebee.

Modo de infiltração

A metodologia de ataque normalmente envolve o uso de formulários de contato em sites para enviar ameaças legais relacionadas a supostas violações de direitos autorais às entidades visadas. Os links incorporados direcionam os destinatários para um site enganoso, persuadindo-os a baixar um arquivo JavaScript responsável por iniciar a carga principal usando msiexec.

Após a infecção, o Latrodectus envia informações criptografadas do sistema para seu servidor de comando e controle (C2) e solicita o download do bot. Após se cadastrar no C2, ele aguarda comandos do servidor.

O Latrodectus possui recursos para detectar ambientes em sandbox, verificando a presença de um endereço MAC válido e um número suficiente de processos em execução em sistemas que executam o Windows 10 ou mais recente.

Semelhante ao IcedID, o Latrodectus envia informações de registro ao servidor C2 por meio de uma solicitação POST, com os dados criptografados e parâmetros HTTP concatenados. Em seguida, aguarda mais instruções do servidor.

Os comandos emitidos para o Latrodectus permitem enumerar arquivos e processos, executar binários e arquivos DLL, executar diretivas arbitrárias via cmd.exe, atualizar-se e encerrar processos em execução.

Uma investigação mais aprofundada sobre a infraestrutura do invasor revela que os servidores C2 iniciais tornaram-se ativos em 18 de setembro de 2023, comunicando-se com um servidor upstream Tier 2 estabelecido por volta de agosto de 2023.

A conexão entre Latrodectus e IcedID é evidente pelo fato de que o servidor Tier 2 mantém conexões com infraestrutura de backend vinculada ao IcedID e emprega jump boxes anteriormente associadas às operações do IcedID.