Latrodectus Malware

Os analistas de segurança descobriram um novo malware chamado Latrodectus, que tem circulado por meio de esforços de phishing por e-mail pelo menos desde o final de novembro de 2023. O Latrodectus se destaca como um downloader emergente equipado com diversos recursos de evasão de sandbox, meticulosamente elaborado para buscar cargas úteis e executar comandos arbitrários.

Há indicações que sugerem que os criadores do notório malware IcedID estão provavelmente por trás do desenvolvimento do Latrodectus. Este downloader é empregado por corretores de acesso inicial (IABs) para agilizar a implantação de outros softwares maliciosos.

O Latrodectus está predominantemente associado a dois IABs distintos, identificados como TA577 (também conhecido como Water Curupira) e TA578. É digno de nota que o TA577 também esteve implicado na disseminação do QakBot e do PikaBot.

O Latrodectus pode estar Superando Ameaças de Malware Mais Antigas

Em meados de janeiro de 2024, o Latrodectus tem sido predominantemente utilizado pelo TA578 em campanhas de ameaças baseadas em e-mail, muitas vezes disseminadas através de infecções DanaBot. O TA578, um ator conhecido desde pelo menos maio de 2020, está associado a várias campanhas de e-mail distribuindo Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike e Bumblebee.

As sequências de ataque envolvem a exploração de formulários de contato de sites para enviar ameaças legais relacionadas a supostas violações de direitos autorais a organizações visadas. Os links incorporados nessas mensagens redirecionam os destinatários para sites enganosos, solicitando-lhes que baixem um arquivo JavaScript responsável por iniciar a carga primária via msiexec.

O Latrodectus criptografa os dados do sistema e os encaminha para o servidor de Comando e Controle (C2), iniciando uma solicitação de download do bot. Depois que o bot estabelece contato com o C2, ele solicita comandos dele.

O Latrodectus Malware pode Executar Vários Comandos Invasivos

O malware possui a capacidade de detectar ambientes em sandbox, verificando a presença de um endereço MAC válido e um mínimo de 75 processos em execução em sistemas que executam o Windows 10 ou mais recente.

Semelhante ao IcedID, o Latrodectus é programado para transmitir detalhes de registro por meio de uma solicitação POST ao servidor C2, onde os campos são concatenados em parâmetros HTTP e criptografados. Posteriormente, aguarda novas instruções do servidor. Esses comandos permitem que o malware enumere arquivos e processos, execute binários e arquivos DLL, emita diretivas arbitrárias via cmd.exe, atualize o bot e até mesmo encerre processos em execução.

Um exame mais aprofundado da infraestrutura do invasor revela que os servidores C2 iniciais tornaram-se operacionais em 18 de setembro de 2023. Esses servidores são configurados para interagir com um servidor upstream Tier 2 estabelecido por volta de agosto de 2023.

A associação entr o Latrodectus e o IcedID é evidente nas conexões do servidor T2 com a infraestrutura de backend vinculada ao IcedID, juntamente com a utilização de jump boxes anteriormente vinculadas às operações do IcedID.

Os pesquisadores antecipam um aumento no uso do Latrodectus por atores de ameaças com motivação financeira no domínio criminoso, especialmente aqueles que já divulgaram o IcedID.