Pesquisadores de cibersegurança observaram um aumento nas campanhas de phishing por e-mail, a partir do início de março de 2024, que entrega Latrodectus, um novo carregador de malware, acreditado como sucessor do malware IcedID.
“Essas campanhas geralmente envolvem uma cadeia de infecção reconhecível, envolvendo arquivos JavaScript sobredimensionados que utilizam a capacidade do WMI de invocar o msiexec.exe e instalar um arquivo MSI hospedado remotamente em um compartilhamento WEBDAV”, disseram os pesquisadores da Elastic Security Labs, Daniel Stepanic e Samir Bousseaden.
Latrodectus vem com capacidades padrão esperadas de malware projetado para implantar cargas adicionais, como QakBot, DarkGate e PikaBot, permitindo que agentes maliciosos conduzam diversas atividades pós-exploração.
Uma análise dos artefatos mais recentes do Latrodectus revelou um extenso foco em enumeração e execução, bem como a incorporação de uma técnica de autoexclusão para excluir arquivos em execução.
Além de se disfarçar como bibliotecas associadas a software legítimo, o malware utiliza ofuscação de código-fonte e realiza verificações anti-análise para evitar que sua execução prossiga ainda mais em um ambiente de depuração ou isolado.
Latrodectus também estabelece persistência em hosts Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) via HTTPS para receber comandos que permitam coletar informações do sistema; atualizar, reiniciar e encerrar; e executar shellcodes, DLL e arquivos executáveis.
Duas novos comandos adicionados ao malware desde sua aparição no final do ano passado incluem a capacidade de enumerar arquivos no diretório da área de trabalho e recuperar toda a ascendência de processos em execução da máquina infectada.
Ele ainda suporta um comando para baixar e executar o IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha afirmado que não detectou esse comportamento na natureza.
“Definitivamente existe algum tipo de conexão de desenvolvimento ou acordo de trabalho entre o IcedID e o Latrodectus”, disseram os pesquisadores.
“Uma hipótese considerada é que o Latrodectus está sendo desenvolvido ativamente como substituto do IcedID, e o manipulador (#18) foi incluído até que os autores de malware estivessem satisfeitos com as capacidades do Latrodectus.”
Esse desenvolvimento ocorre à medida que a Forcepoint dissecou uma campanha de phishing que utiliza e-mails com tema de faturas para entregar o malware DarkGate.
A cadeia de ataque começa com e-mails de phishing se passando por faturas do QuickBooks, incentivando os usuários a instalar o Java clicando em um link embutido que leva a um arquivo Java malicioso (JAR). O arquivo JAR funciona como um condutor para executar um script do PowerShell responsável por baixar e iniciar o DarkGate via um script AutoIT.
Campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para coletar cookies de sessão do Microsoft 365 e do Gmail e burlar as proteções de autenticação de dois fatores (MFA).
“A nova versão possui capacidades aprimoradas de evasão de detecção que tornam ainda mais difícil para os sistemas de segurança identificar e bloquear o kit”, disse a Proofpoint. “Alterações significativas no código JavaScript e HTML foram implementadas para aumentar sua furtividade e eficácia.”
Isso inclui técnicas de obfuscação para tornar o código-fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que é executado, evitando, assim, sistemas de detecção baseados em assinatura.
Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram anúncios do Google se passando por Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de cibercrime em janeiro de 2024, e, por fim, lançar Raccoon Stealer e DanaBot.
“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando certificados de [Validação Estendida] para burlar medidas de segurança confiáveis”, observou a empresa de cibersegurança eSentire no final do mês passado.
A divulgação segue também a aparição de novas famílias de malware rouba-dados, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo quando o trojan de acesso remoto Remcos foi visto usando um módulo PrivateLoader para ampliar suas capacidades.
“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em tempos variáveis ou por controle, o malware é capaz de se infiltrar completamente em um sistema e permanecer indetectado”, disse a equipe de pesquisa de ameaças SonicWall Capture Labs.
Se achou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.