Pesquisadores de segurança cibernética observaram um aumento nas campanhas de phishing por e-mail desde o início de março de 2024 que distribuem Latrodectus, um carregador de malware incipiente acredita-se ser o sucessor do malware IcedID.
“Essas campanhas normalmente envolvem uma cadeia de infecção reconhecível envolvendo arquivos JavaScript sobre dimensionados que utilizam a capacidade do WMI para invocar msiexec.exe e instalar um arquivo MSI hospedado remotamente, hospedado remotamente em um compartilhamento WEBDAV”, disseram os pesquisadores de Elastic Security Labs, Daniel Stepanic e Samir Bousseaden.
Latrodectus vem com capacidades padrão que são normalmente esperadas de malware projetado para implantar cargas adicionais, como QakBot, DarkGate e PikaBot, permitindo que os atores da ameaça realizem várias atividades pós-exploração.
Uma análise dos artefatos mais recentes do Latrodectus revelou um extenso foco em enumeração e execução, bem como a incorporação de uma técnica de autoexclusão para excluir arquivos em execução.
Além de se disfarçar como bibliotecas associadas a software legítimo, o malware utiliza obfuscação de código-fonte e realiza verificações anti-análise para impedir que sua execução continue em um ambiente de depuração ou sandbox.
O Latrodectus também estabelece persistência em hosts Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) através do HTTPS para receber comandos que permitam coletar informações do sistema; atualizar, reiniciar e encerrar-se; e executar shellcode, DLL e arquivos executáveis.
Duas novos comandos adicionados ao malware desde sua emergência no final do ano passado incluem a capacidade de enumerar arquivos no diretório da área de trabalho e recuperar toda a ancestralidade de processos em execução da máquina infectada.
Além disso, suporta um comando para baixar e executar o IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento na prática.
“Definitivamente existe algum tipo de conexão de desenvolvimento ou arranjo de trabalho entre o IcedID e o Latrodectus”, disseram os pesquisadores.
“Uma hipótese que está sendo considerada é que o LATRODECTUS está sendo ativamente desenvolvido como um substituto para o IcedID, e o manipulador (#18) foi incluído até que os autores de malware estivessem satisfeitos com as capacidades do Latrodectus.”
O desenvolvimento ocorre enquanto a Forcepoint analisava uma campanha de phishing que usa iscas de e-mail temáticas de faturas para distribuir o malware DarkGate.
A cadeia de ataque começa com e-mails de phishing se passando por faturas do QuickBooks, instando os usuários a instalar o Java clicando em um link incorporado que leva a um arquivo Java malicioso (JAR). O arquivo JAR age como um conduíte para executar um script do PowerShell responsável por baixar e lançar o DarkGate por meio de um script AutoIT.
Campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para colher cookies de sessão do Microsoft 365 e Gmail e contornar proteções de autenticação multifatorial (MFA).
“A nova versão apresenta capacidades aprimoradas de evasão de detecção que tornam ainda mais difícil para os sistemas de segurança identificar e bloquear o kit”, disse a Proofpoint. “Alterações significativas no código JavaScript e HTML do kit foram implementadas para aumentar sua furtividade e eficácia.”
Isso inclui técnicas de obfuscação para tornar o código-fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que ele é executado, evitando assim sistemas de detecção baseados em assinaturas.
Outras campanhas de engenharia social detectadas em março de 2024 se aproveitaram de anúncios do Google se passando por Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de cibercrime em janeiro de 2024, e, por fim, descarregam Raccoon Stealer e DanaBot.
“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando [Certificados de Validação Estendida] para contornar medidas de segurança confiáveis”, observou a empresa de segurança cibernética eSentire no final do mês passado.
A divulgação também segue o surgimento de novas famílias de malware roubador, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo quando o troiano de acesso remoto (RAT) Remcos foi avistado usando um módulo PrivateLoader para aumentar suas capacidades.
“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em horários variados ou por controle, o malware [Remcos] é capaz de infiltrar-se completamente em um sistema e permanecer indetectado”, disse a equipe de pesquisa de ameaças SonicWall Capture Labs.
