Especialistas em segurança cibernética observaram um aumento nas campanhas de phishing por e-mail desde o início de março de 2024 que distribui o Latrodectus, um novo carregador de malware acreditado como sucessor do malware IcedID.
“Essas campanhas geralmente envolvem uma cadeia de infecção reconhecível envolvendo arquivos JavaScript excessivamente grandes que utilizam a capacidade do WMI de invocar o msiexec.exe e instalar um arquivo MSI hospedado remotamente, hospedado remotamente em um compartilhamento WEBDAV”, disseram os pesquisadores do Elastic Security Labs, Daniel Stepanic e Samir Bousseaden.
O Latrodectus possui capacidades padrão que são normalmente esperadas de malware projetado para implantar cargas adicionais, como QakBot, DarkGate e PikaBot, permitindo que atores de ameaças realizem diversas atividades pós-exploração.
Uma análise dos últimos artefatos do Latrodectus revelou um foco extensivo na enumeração e execução, bem como a incorporação de uma técnica de autodestruição para excluir arquivos em execução.
Além de se disfarçar como bibliotecas associadas a software legítimo, o malware utiliza obfuscação de código-fonte e realiza verificações de anti-análise para impedir que sua execução prossiga em um ambiente de depuração ou isolado.
O Latrodectus também estabelece persistência em hosts Windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) por HTTPS para receber comandos que permitem coletar informações do sistema; atualizar, reiniciar e encerrar-se; e executar shellcode, DLL e arquivos executáveis.
Duas novos comandos adicionados ao malware desde sua aparição no final do ano passado incluem a capacidade de enumerar arquivos no diretório do desktop e recuperar a árvore de processos em execução na máquina infectada.
Além disso, suporta um comando para baixar e executar o IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento na natureza.
“Definitivamente existe algum tipo de conexão de desenvolvimento ou arranjo de trabalho entre o IcedID e o Latrodectus”, disseram os pesquisadores.
“Uma hipótese que está sendo considerada é que o LATRODECTUS está sendo ativamente desenvolvido como substituição do IcedID, e o manipulador (#18) foi incluso até que os autores de malware estivessem satisfeitos com as capacidades do Latrodectus”.
Esse desenvolvimento acontece enquanto a Forcepoint analisou uma campanha de phishing que utiliza e-mails temáticos de faturas para distribuir o malware DarkGate.
A cadeia de ataque começa com e-mails de phishing se passando por faturas do QuickBooks, instigando os usuários a instalar o Java clicando em um link incorporado que leva a um arquivo Java malicioso (JAR). O arquivo JAR atua como um condutor para executar um script PowerShell responsável por baixar e iniciar o DarkGate por meio de um script AutoIT.
O usar campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para coletar cookies de sessão do Microsoft 365 e do Gmail e ignorar as proteções de autenticação de dois fatores (MFA).
Essas incluem técnicas de obfuscação para tornar o código-fonte mais difícil de entender e o uso de geração de código dinâmico para ajustar o código toda vez que é executado, evitando assim sistemas de detecção baseados em assinaturas.
Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram anúncios do Google se passando por Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de cibercrime em janeiro de 2024, e, por fim, dropou Raccoon Stealer e DanaBot.
“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua evoluindo, utilizando certificados de [Validação Extendida] para burlar medidas de segurança confiáveis”, observou a empresa de segurança cibernética eSentire no final do mês passado.
Essa divulgação também segue o surgimento de novas famílias de malware roubador, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo quando o trojan de acesso remoto (RAT) Remcos foi observado usando um módulo PrivateLoader para aumentar suas capacidades.
“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em horários variáveis ou por controle, o malware é capaz de se infiltrar completamente em um sistema e permanecer indetectável”, disse a equipe de pesquisa de ameaças SonicWall Capture Labs.
Gostou deste artigo? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.
