Pesquisadores de cibersegurança observaram um aumento nas campanhas de phishing por e-mail, começando em março de 2024, que distribuem o Latrodectus, um novo carregador de malware que se acredita ser o sucessor do malware IcedID.
Essas campanhas geralmente envolvem uma cadeia de infecção reconhecível, envolvendo arquivos JavaScript grandes que utilizam a capacidade do WMI de invocar o msiexec.exe e instalar um arquivo MSI hospedado remotamente, hospedado remotamente em um compartilhamento WebDAV, disseram os pesquisadores do Elastic Security Labs Daniel Stepanic e Samir Bousseaden.
O Latrodectus vem com capacidades padrão tipicamente esperadas de malware projetado para implantar cargas úteis adicionais, como QakBot, DarkGate e PikaBot, permitindo que atores maliciosos conduzam diversas atividades pós-exploração.
Uma análise dos artefatos mais recentes do Latrodectus revelou um extenso foco na enumeração e execução, bem como a incorporação de uma técnica de autoexclusão para excluir arquivos em execução.
Além de se disfarçar como bibliotecas associadas a software legítimo, o malware utiliza obstrução do código-fonte e realiza verificações anti-análises para evitar que sua execução prossiga em um ambiente de depuração ou em sandbox.
O Latrodectus também estabelece persistência em hosts com Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) por HTTPS para receber comandos, que permitem coletar informações do sistema, atualizar, reiniciar e encerrar, e executar shellcode, DLL e arquivos executáveis.
Desde sua aparição no final do ano passado, duas novos comandos foram adicionados ao malware, incluindo a capacidade de enumerar arquivos no diretório da área de trabalho e recuperar toda a ancestralidade de processos em execução na máquina infectada.
Ele ainda suporta um comando para baixar e executar o IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento na prática.
“Há definitivamente algum tipo de conexão de desenvolvimento ou acordo de trabalho entre IcedID e Latrodectus”, disseram os pesquisadores.
“Uma hipótese que está sendo considerada é que o Latrodectus está sendo ativamente desenvolvido como um substituto para o IcedID, e o manipulador (#18) foi incluído até que os autores de malware estivessem satisfeitos com as capacidades do Latrodectus.”
O desenvolvimento vem à tona enquanto a Forcepoint dissecou uma campanha de phishing que utiliza e-mails temáticos de faturas para entregar o malware DarkGate.
A cadeia de ataque começa com e-mails de phishing se passando por faturas do QuickBooks, incentivando os usuários a instalar o Java clicando em um link incorporado que leva a um arquivo Java malicioso (JAR). O arquivo JAR age como um condutor para executar um script do PowerShell responsável por baixar e lançar o DarkGate por meio de um script do AutoIT.
Campanhas de engenharia social também têm empregado uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para coletar cookies de sessão do Microsoft 365 e do Gmail e para bypassar proteções de autenticação de dois fatores (MFA).
“A nova versão apresenta capacidades aprimoradas de evasão de detecção que dificultam ainda mais para os sistemas de segurança identificar e bloquear o kit”, disse a Proofpoint. “Alterações significativas no código JavaScript e HTML do kit foram implementadas para aumentar sua furtividade e eficácia.”
Isso inclui técnicas de obstrução para tornar o código-fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que é executado, evitando assim sistemas de detecção baseados em assinaturas.
Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram anúncios do Google se passando pelo Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de cibercrime em janeiro de 2024, e, por fim, descarregar Raccoon Stealer e DanaBot.
“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando certificados de [Validação Extendida] para burlar medidas de segurança confiáveis”, observou a empresa de cibersegurança eSentire no final do mês passado.
A divulgação também segue a emergência de novas famílias de malware stealer, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo quando o trojan de acesso remoto Remcos foi visto usando um módulo PrivateLoader para aumentar suas capacidades.
“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em horários variáveis ou por controle, [o malware Remcos] é capaz de infiltrar-se em um sistema completamente e permanecer indetectável”, disse a equipe de pesquisa de ameaças da SonicWall Capture Labs.
