El cargador de malware Latrodectus reemplaza a IcedID en campañas de phishing


20 de mayo de 2024Sala de redacción Ciberataque/Malware

Los investigadores de ciberseguridad han observado un aumento en las campañas de phishing por correo electrónico que comenzaron a principios de marzo de 2024 y entregaron Latrodectus, un nuevo cargador de malware que se cree que es el sucesor del malware IcedID.

“Estas campañas suelen tener una cadena de infección reconocible que incluye un archivo JavaScript de gran tamaño que aprovecha la funcionalidad WMI para llamar a msiexec.exe e instalar un archivo MSI alojado de forma remota en un recurso compartido WEBDAV”, dijeron los investigadores de Elastic Security Labs, Daniel Stepanic. y Samir Bousseaden.

Latrodectus tiene características estándar que normalmente se esperan de un malware diseñado para implementar cargas útiles adicionales, como QakBot, DarkGate y PikaBot, lo que permite a los actores de amenazas realizar una variedad de actividades posteriores a la explotación.

El análisis de los últimos artefactos de Latrodectus revela un enfoque en la enumeración y ejecución, así como una técnica de autoeliminación incorporada para eliminar archivos en ejecución.

Además de hacerse pasar por bibliotecas asociadas con software legítimo, el malware utiliza la ofuscación del código fuente y realiza comprobaciones antianálisis para evitar una mayor ejecución en entornos de depuración y sandbox.

Latrodectus utiliza tareas programadas para configurar la persistencia en hosts de Windows y establecer conexiones con servidores de comando y control (C2) a través de HTTPS para recopilar información del sistema, actualizarse y reiniciar. Recibe comandos que le permiten salir, ejecutar shellcode, archivos DLL y ejecutables. .

Dos nuevos comandos agregados al malware desde su aparición a fines del año pasado incluyen la capacidad de enumerar archivos en el directorio del escritorio y recuperar el linaje completo de procesos en ejecución desde una máquina infectada.

También admite un comando para descargar y ejecutar un IcedID (ID de comando 18) desde un servidor C2, aunque Elastic dice que este comportamiento no se ha detectado en la naturaleza.

“Definitivamente existe algún vínculo de desarrollo o acuerdo comercial entre IcedID y Latrodectus”, dijeron los investigadores.

“Una hipótesis que se está considerando es que Latrodectus se estaba desarrollando activamente como reemplazo de IcedID, y se incluyó un controlador (#18) hasta que los autores de malware estuvieron satisfechos con la funcionalidad de Latrodectus”.

El desarrollo se produce después de que Forcepoint analizara una campaña de phishing que utilizaba invitaciones por correo electrónico con temas de facturas para entregar malware DarkGate.

La cadena de ataque comienza con un correo electrónico de phishing disfrazado de factura de QuickBooks que solicita a los usuarios que instalen Java haciendo clic en un enlace incrustado que conduce a un archivo Java malicioso (JAR). El archivo JAR sirve como conducto para ejecutar el script de PowerShell que descarga e inicia DarkGate a través del script de AutoIT.

La campaña de ingeniería social también utiliza una versión actualizada de una plataforma de phishing como servicio (PhaaS) llamada Tycoon para recopilar cookies de sesión de Microsoft 365 y Gmail y evitar las protecciones de autenticación multifactor (MFA).

“Esta nueva versión cuenta con capacidades de evasión mejoradas que hacen que sea aún más difícil para los sistemas de seguridad identificar y bloquear el kit”, dijo Proofpoint. “Se han realizado cambios significativos en el código JavaScript y HTML del kit para mejorar el sigilo y la eficacia”.

Estas incluyen técnicas de ofuscación que hacen que el código fuente sea difícil de entender y el uso de generación dinámica de código para modificar el código cada vez que se ejecuta para evadir los sistemas de detección basados ​​en firmas.

Otras campañas de ingeniería social detectadas en marzo de 2024 aprovecharon anuncios de Google que se hacían pasar por Calendly y Rufus, y otro cargador de malware llamado D3F@ck Loader que apareció por primera vez en foros de ciberdelincuencia en enero de 2024 y, finalmente, eliminó Raccoon Stealer y DanaBot.

“El estudio de caso de D3F@ck Loader muestra que el malware como servicio (MaaS) [Extended Validation] “Los certificados pueden usarse para eludir medidas de seguridad confiables”, dijo la firma de ciberseguridad eSentire a fines del mes pasado.

Esta exposición sigue a la aparición de nuevas familias de malware ladrón como Fletchen Stealer, WaveStealer, zEus Stealer y Ziraat Stealer, donde el troyano de acceso remoto Remcos (RAT) utiliza el módulo PrivateLoader para ampliar su funcionalidad. También se ha confirmado que.

“Al instalar scripts VB, modificar el registro y configurar servicios para reiniciar el malware en varios momentos o bajo control, [Remcos] “El malware puede infiltrarse completamente en un sistema y pasar desapercibido”, afirmó el equipo de investigación de amenazas de SonicWall Capture Labs.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/05/latrodectus-malware-loader-emerges-as.html