Os caçadores de ameaças descobriram um novo malware chamado Ladrão que foi distribuído como parte de campanhas de phishing por e mail desde pelo menos o remaining de novembro de 2023.
“Latrodectus é um downloader promissor com várias funcionalidades de evasão de sandbox”, disseram pesquisadores da Proofpoint e Staff Cymru em uma análise conjunta publicada na semana passada, acrescentando que ele foi projetado para recuperar cargas úteis e executar comandos arbitrários.
Há evidências que sugerem que o malware provavelmente foi escrito pelos mesmos agentes de ameaça por trás do malware IcedID, com o downloader utilizado por corretores de acesso inicial (IABs) para facilitar a implantação de outro malware.
O Latrodectus foi principalmente vinculado a dois IABs diferentes rastreados pela Proofpoint sob os nomes TA577 (também conhecido como Water Curupira) e TA578, o primeiro dos quais também foi vinculado à distribuição de QakBot e PikaBot.
Em meados de janeiro de 2024, ele tem sido empregado quase exclusivamente pelo TA578 em campanhas de ameaças por e-mail, em alguns casos entregues por meio de uma infecção DanaBot.
TA578, conhecido por estar ativo desde pelo menos maio de 2020, foi vinculado a campanhas baseadas em e-mail que entregam Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike e Bumblebee.
As cadeias de ataques utilizam formulários de contato em websites para enviar ameaças legais relacionadas a supostas violações de direitos autorais a organizações visadas. Os hyperlinks incorporados nas mensagens direcionam os destinatários para um web site falso para induzi-los a baixar um arquivo JavaScript responsável por iniciar a carga principal usando msiexec.
“O Latrodectus postará informações criptografadas do sistema no servidor de comando e controle (C2) e solicitará o obtain do bot”, disseram os pesquisadores. “Depois que o bot se registra no C2, ele envia solicitações de comandos do C2.”
Ele também vem com recursos para detectar se está sendo executado em um ambiente de área restrita, verificando se o host possui um endereço MAC válido e se há pelo menos 75 processos em execução em sistemas que executam o Home windows 10 ou mais recente.
Como no caso do IcedID, o Latrodectus foi projetado para enviar as informações de registro em uma solicitação POST para o servidor C2 onde os campos são parâmetros HTTP agrupados e criptografados, após o que aguarda novas instruções do servidor.
Os comandos permitem que o malware enumere arquivos e processos, execute binários e arquivos DLL, execute diretivas arbitrárias through cmd.exe, atualize o bot e até mesmo desligue um processo em execução.
Um exame mais aprofundado da infraestrutura do invasor revela que os primeiros servidores C2 entraram em operação em 18 de setembro de 2023. Esses servidores, por sua vez, são configurados para se comunicarem com um servidor upstream Tier 2 que foi configurado por volta de agosto de 2023.
As conexões do Latrodectus com o IcedID decorrem do fato de que o servidor T2 “mantém conexões com a infraestrutura de backend associada ao IcedID” e do uso de leap packing containers anteriormente associadas às operações do IcedID.
“O Latrodectus será cada vez mais utilizado por atores de ameaças com motivação financeira em todo o cenário legal, especialmente aqueles que distribuíram anteriormente o IcedID”, avaliou a equipe Cymru.
