Pesquisadores de segurança cibernética observaram um aumento nas campanhas de phishing por e-mail a partir do início de março de 2024, que entrega o Latrodectus, um carregador de malware nascente que se acredita ser o sucessor do malware IcedID.
“Essas campanhas normalmente envolvem uma cadeia de infecção reconhecível envolvendo arquivos JavaScript superdimensionados que utilizam a capacidade do WMI de invocar msiexec.exe e instalar um arquivo MSI hospedado remotamente, hospedado remotamente em um compartilhamento WEBDAV”, disseram os pesquisadores do Elastic Safety Labs Daniel Stepanic e Samir Bousseaden.
O Latrodectus vem com recursos padrão que normalmente são esperados de malware projetado para implantar cargas adicionais, como QakBot, DarkGate e PikaBot, permitindo que os agentes de ameaças conduzam várias atividades pós-exploração.
Uma análise dos artefatos mais recentes do Latrodectus revelou um amplo foco na enumeração e execução, bem como na incorporação de uma técnica de autoexclusão para excluir arquivos em execução.
O malware, além de se disfarçar como bibliotecas associadas a software program legítimo, utiliza ofuscação de código-fonte e realiza verificações anti-análise para evitar que sua execução prossiga em um ambiente de depuração ou sandbox.
O Latrodectus também configura persistência em hosts Home windows usando uma tarefa agendada e estabelece contato com um servidor de comando e controle (C2) through HTTPS para receber comandos que permitem coletar informações do sistema; atualizar, reiniciar e encerrar-se; e execute shellcode, DLL e arquivos executáveis.
Dois novos comandos adicionados ao malware desde seu surgimento no closing do ano passado incluem a capacidade de enumerar arquivos no diretório da área de trabalho e recuperar toda a ancestralidade do processo em execução na máquina infectada.
Ele também oferece suporte a um comando para baixar e executar o IcedID (ID de comando 18) do servidor C2, embora a Elastic tenha dito que não detectou esse comportamento em estado selvagem.
“Definitivamente existe algum tipo de conexão de desenvolvimento ou acordo de trabalho entre o IcedID e o Latrodectus”, disseram os pesquisadores.
“Uma hipótese considerada é que o LATRODECTUS está sendo desenvolvido ativamente como um substituto para o IcedID, e o manipulador (#18) foi incluído até que os autores do malware estivessem satisfeitos com as capacidades do Latrodectus.”
O desenvolvimento ocorre no momento em que a Forcepoint disseca uma campanha de phishing que faz uso de iscas de e-mail com tema de fatura para entregar o malware DarkGate.
A cadeia de ataque começa com e-mails de phishing que se apresentam como faturas do QuickBooks, incentivando os usuários a instalar o Java clicando em um hyperlink incorporado que leva a um arquivo Java malicioso (JAR). O arquivo JAR atua como um canal para executar um script PowerShell responsável por baixar e iniciar o DarkGate por meio de um script AutoIT.
As campanhas de engenharia social também empregaram uma versão atualizada de uma plataforma de phishing como serviço (PhaaS) chamada Tycoon para coletar cookies de sessão do Microsoft 365 e do Gmail e ignorar as proteções de autenticação multifator (MFA).
“Esta nova versão possui recursos aprimorados de evasão de detecção que tornam ainda mais difícil para os sistemas de segurança identificar e bloquear o package”, disse Proofpoint. “Alterações significativas no código JavaScript e HTML do package foram implementadas para aumentar sua furtividade e eficácia.”
Isso inclui técnicas de ofuscação para dificultar a compreensão do código-fonte e o uso de geração dinâmica de código para ajustar o código toda vez que ele é executado, evitando assim sistemas de detecção baseados em assinaturas.
Outras campanhas de engenharia social detectadas em março de 2024 aproveitaram os anúncios do Google que se faziam passar por Calendly e Rufus para propagar outro carregador de malware conhecido como D3F@ck Loader, que surgiu pela primeira vez em fóruns de crimes cibernéticos em janeiro de 2024 e, por fim, descartou Raccoon Stealer e DanaBot.
“O caso do D3F@ck Loader ilustra como o malware como serviço (MaaS) continua a evoluir, utilizando certificados (validação estendida) para contornar medidas de segurança confiáveis”, observou a empresa de segurança cibernética eSentire no closing do mês passado.
A divulgação também segue o surgimento de novas famílias de malware ladrão, como Fletchen Stealer, WaveStealer, zEus Stealer e Ziraat Stealer, mesmo que o trojan de acesso remoto (RAT) Remcos tenha sido detectado usando um módulo PrivateLoader para aumentar seus recursos.
“Ao instalar scripts VB, alterar o registro e configurar serviços para reiniciar o malware em momentos variáveis ou por controle, o malware (Remcos) é capaz de se infiltrar completamente em um sistema e permanecer sem ser detectado”, disse a equipe de pesquisa de ameaças do SonicWall Seize Labs.
