Dos familias de malware que sufrieron reveses como consecuencia de una operación policial coordinada llamada Endgame han resurgido como parte de nuevas campañas de phishing.
Bumblebee y Latrodectus , que son cargadores de malware, están diseñados para robar datos personales, además de descargar y ejecutar cargas útiles adicionales en hosts comprometidos.
Latrodectus, que se conoce con los nombres BlackWidow, IceNova, Lotus o Unidentified 111, también se considera un sucesor de IcedID debido a las superposiciones de infraestructura entre las dos familias de malware. Se ha utilizado en campañas asociadas con dos agentes de acceso inicial (IAB) conocidos como TA577 (también conocido como Water Curupira) y TA578.
En mayo de 2024, una coalición de países europeos afirmó haber desmantelado más de 100 servidores vinculados a varias cepas de malware como IcedID (y, por extensión, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot.
«Aunque Latrodectus no fue mencionado en la operación, también fue afectado y su infraestructura quedó fuera de línea», señaló el investigador de seguridad de Bitsight, João Batista , en junio de 2024.
La empresa de ciberseguridad Trustwave, en un análisis publicado a principios de este mes, describió a Latrodectus como una «amenaza distinta» que ha recibido un impulso tras la Operación Endgame.
«Aunque inicialmente sufrió un impacto, Latrodectus se recuperó rápidamente. Sus capacidades avanzadas llenaron el vacío dejado por sus contrapartes deshabilitadas, estableciéndose como una amenaza formidable», dijo la empresa de ciberseguridad .
Las cadenas de ataque generalmente aprovechan campañas de malspam, explotando hilos de correo electrónico secuestrados y haciéndose pasar por entidades legítimas como Microsoft Azure y Google Cloud para activar el proceso de implementación de malware.
La secuencia de infección recientemente observada por Forcepoint y Logpoint sigue la misma ruta: los mensajes de correo electrónico con temática de DocuSign contienen archivos PDF adjuntos que contienen un enlace malicioso o archivos HTML con código JavaScript incorporado que están diseñados para descargar un instalador MSI y un script de PowerShell, respectivamente.
Independientemente del método empleado, el ataque culmina con la implementación de un archivo DLL malicioso que, a su vez, lanza el malware Latrodectus.
«Latrodectus aprovecha una infraestructura más antigua, combinada con un nuevo e innovador método de distribución de carga útil de malware a los sectores financiero, automotriz y comercial», afirmó Mayur Sewani, investigador de Forcepoint.
Las campañas actuales de Latrodectus coinciden con el regreso del cargador Bumblebee, que emplea un archivo ZIP probablemente descargado mediante correos electrónicos de phishing como mecanismo de entrega.
«El archivo ZIP contiene un archivo LNK llamado ‘Report-41952.lnk’ que, una vez ejecutado, inicia una cadena de eventos para descargar y ejecutar el payload final de Bumblebee en memoria, evitando la necesidad de escribir la DLL en el disco», explicó el investigador de Netskope Leandro Fróes.
El archivo LNK tiene como objetivo ejecutar un comando de PowerShell para descargar un instalador MSI desde un servidor remoto. Una vez ejecutados, los ejemplos MSI, que se hacen pasar por instaladores de NVIDIA y Midjourney, sirven como canal para ejecutar la DLL de Bumblebee.
«Bumblebee utiliza un enfoque más sigiloso para evitar la creación de otros procesos y evita escribir la carga útil final en el disco», señaló Fróes.
«Esto se hace mediante el uso de la tabla SelfReg para forzar la ejecución de la función de exportación DllRegisterServer presente en un archivo de la tabla File . La entrada en la tabla SelfReg funciona como una clave para indicar qué archivo ejecutar en la tabla File y en nuestro caso fue la DLL de carga útil final».
Fuente y redacción: thehackernews.com
