Pesquisadores de segurança cibernética observaram um aumento nas campanhas de phishing por e-mail desde o início de março de 2024 que distribui o Latrodectus, um carregador de malware nascente que se acredita ser o sucessor do malware IcedID.

“Essas campanhas geralmente envolvem uma cadeia de infecções reconhecível envolvendo arquivos JavaScript superdimensionados que utilizam a capacidade do WMI de invocar o msiexec.exe e instalar um arquivo MSI hospedado remotamente, hospedado remotamente em um compartilhamento do WEBDAV”, disseram os pesquisadores do Elastic Security Labs, Daniel Stepanic e Samir Bousseaden.

O Latrodectus vem com capacidades padrão que são tipicamente esperadas de malware projetado para implantar cargas adicionais, como QakBot, DarkGate e PikaBot, permitindo que atores maliciosos realizem várias atividades pós-exploração.

Uma análise dos artefatos mais recentes do Latrodectus revelou um foco extensivo na enumeração e execução, bem como a incorporação de uma técnica de autoexclusão para excluir arquivos em execução.

O malware, além de se disfarçar de bibliotecas associadas a software legítimo, utiliza a ofuscação de código-fonte e realiza verificações anti-análise para evitar que sua execução prossiga em um ambiente de depuração ou sandbox.

O Latrodectus também estabelece persistência em hosts Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) via HTTPS para receber comandos que permitem coletar informações do sistema; atualizar, reiniciar e encerrar; e executar shellcode, DLL e arquivos executáveis.

Duas novas comandos adicionados ao malware desde sua emergência no final do ano passado incluem a capacidade de enumerar arquivos no diretório da área de trabalho e recuperar toda a ancestralidade de processos em execução da máquina infectada.

Ele ainda suporta um comando para baixar e executar o IcedID (comando ID 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento na natureza.

“Definitivamente há algum tipo de conexão de desenvolvimento ou acordo de trabalho entre o IcedID e o Latrodectus”, disseram os pesquisadores.

“Uma hipótese sendo considerada é que o Latrodectus está sendo ativamente desenvolvido como um substituto para o IcedID, e o manipulador (#18) foi incluído até que os autores do malware ficassem satisfeitos com as capacidades do Latrodectus.”

O desenvolvimento ocorre à medida que a Forcepoint dissecou uma campanha de phishing que usa e-mails temáticos de faturas para distribuir o malware DarkGate.

A cadeia de ataque começa com e-mails de phishing se passando por faturas do QuickBooks, incentivando os usuários a instalar o Java clicando em um link incorporado que leva para um arquivo Java malicioso (JAR). O arquivo JAR atua como um condutor para executar um script do PowerShell responsável por baixar e lançar o DarkGate por meio de um script AutoIT.

Campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para coletar cookies de sessão do Microsoft 365 e Gmail e burlar proteções de autenticação em duas etapas (MFA).

“A versão mais recente apresenta capacidades aprimoradas de evasão de detecção que tornam ainda mais difícil para os sistemas de segurança identificar e bloquear o kit”, disse a Proofpoint. “Alterações significativas no código JavaScript e HTML do kit foram implementadas para aumentar sua furtividade e eficácia.”

Essas incluem técnicas de ofuscação para tornar o código fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que é executado, evitando assim sistemas de detecção baseados em assinatura.

Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram anúncios do Google se passando pelo Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu nos fóruns de crimes cibernéticos em janeiro de 2024, e acabou por soltar o Raccoon Stealer e o DanaBot.

“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando certificados [Extended Validation] para burlar medidas de segurança confiáveis”, observou a empresa de segurança cibernética eSentire no final do mês passado.

A divulgação também segue a emergência de novas famílias de malwares roubadores como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, enquanto o trojan de acesso remoto (RAT) Remcos foi detectado usando um módulo PrivateLoader para ampliar suas capacidades.

“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em horários variáveis ou por controle, o malware é capaz de infiltrar completamente um sistema e permanecer indetectado”, disse a equipe de pesquisa de ameaças da SonicWall Capture Labs.