Los cazadores de amenazas han descubierto un nuevo malware llamado Latrodectus que se ha distribuido como parte de campañas de phishing por correo electrónico desde al menos finales de noviembre de 2023.
«Latrodectus es un descargador prometedor con varias funciones de evasión de espacio aislado», dijeron investigadores de Proofpoint y Team Cymru en un análisis conjunto publicado la semana pasada, y agregaron que está diseñado para recuperar cargas útiles y ejecutar comandos arbitrarios.
Hay evidencia que sugiere que el malware probablemente esté escrito por los mismos actores de amenazas detrás del malware IcedID , y que los corredores de acceso inicial (IAB) utilizan el descargador para facilitar la implementación de otro malware.
Latrodectus se ha vinculado principalmente a dos IAB diferentes rastreados por Proofpoint con los nombres TA577 (también conocido como Water Curupira) y TA578, el primero de los cuales también se ha vinculado a la distribución de QakBot y PikaBot.
A mediados de enero de 2024, TA578 lo ha empleado casi exclusivamente en campañas de amenazas por correo electrónico, en algunos casos entregado a través de una infección de DanaBot .
TA578, que se sabe que está activo desde al menos mayo de 2020, se ha vinculado a campañas basadas en correo electrónico que entregan Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike y Bumblebee.
Las cadenas de ataque aprovechan los formularios de contacto en los sitios web para enviar amenazas legales sobre supuestas infracciones de derechos de autor a las organizaciones específicas. Los enlaces incrustados en los mensajes dirigen a los destinatarios a un sitio web falso para engañarlos y descargar un archivo JavaScript que es responsable de iniciar la carga útil principal utilizando msiexec .
«Latrodectus publicará información cifrada del sistema en el servidor de comando y control (C2) y solicitará la descarga del bot», dijeron los investigadores. «Una vez que el bot se registra en el C2, envía solicitudes de comandos desde el C2».
También viene con capacidades para detectar si se está ejecutando en un entorno aislado al verificar si el host tiene una dirección MAC válida y si hay al menos 75 procesos en ejecución en sistemas que ejecutan Windows 10 o posterior.
Como en el caso de IcedID, Latrodectus está diseñado para enviar la información de registro en una solicitud POST al servidor C2 donde los campos son parámetros HTTP unidos y cifrados, después de lo cual espera más instrucciones del servidor.
Los comandos permiten que el malware enumere archivos y procesos, ejecute archivos binarios y DLL, ejecute directivas arbitrarias a través de cmd.exe, actualice el bot e incluso cierre un proceso en ejecución.
Un examen más detallado de la infraestructura del atacante revela que los primeros servidores C2 cobraron vida el 18 de septiembre de 2023. Estos servidores, a su vez, están configurados para comunicarse con un servidor de nivel 2 ascendente que se configuró alrededor de agosto de 2023.
Las conexiones de Latrodectus con IcedID surgen del hecho de que el servidor T2 «mantiene conexiones con la infraestructura backend asociada con IcedID» y el uso de jump boxes previamente asociados con las operaciones de IcedID.
«Latrodectus será cada vez más utilizado por actores de amenazas motivados financieramente en todo el panorama criminal, particularmente aquellos que anteriormente distribuían IcedID», evaluó el equipo Cymru.
Fuente y redacción: thehackernews.com