Duas famílias de malware que sofreram reveses após uma operação coordenada de aplicação da lei chamada Endgame ressurgiram como parte de novas campanhas de phishing.
Bumblebee e Latrodectus, ambos carregadores de malware, são projetados para roubar dados pessoais, além de baixar e executar cargas adicionais em hosts comprometidos.
Rastreado sob os nomes BlackWidow, IceNova, Lotus ou Unidentified 111, o Latrodectus também é considerado um sucessor do IcedID devido às sobreposições de infraestrutura entre as duas famílias de malware. Tem sido utilizado em campanhas associadas a dois corretores de acesso inicial (IABs) conhecidos como TA577 (também conhecido como Curupira de Água) e TA578.
Em maio de 2024, uma coligação de países europeus afirmou ter desmantelado mais de 100 servidores ligados a diversas estirpes de malware, como IcedID (e, por extensão, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot.
“Embora o Latrodectus não tenha sido mencionado na operação, ele também foi afetado e sua infraestrutura ficou offline”, observou o pesquisador de segurança da Bitsight João Batista em junho de 2024.
A empresa de segurança cibernética Trustwave, em uma análise publicada no início deste mês, descreveu o Latrodectus como uma “ameaça distinta” que recebeu um impulso após a Operação Endgame.
“Embora inicialmente impactado, o Latrodectus se recuperou rapidamente. Suas capacidades avançadas preencheram o vazio deixado por seus colegas deficientes, estabelecendo-se como uma ameaça formidável”, disse a empresa de segurança cibernética.
As cadeias de ataques normalmente aproveitam campanhas de malspam, explorando threads de e-mail sequestrados e personificando entidades legítimas como Microsoft Azure e Google Cloud para ativar o processo de implantação de malware.
A sequência de infecção recentemente observada por Forcepoint e Logpoint segue o mesmo caminho, com mensagens de e-mail com tema DocuSign contendo anexos em PDF contendo um hyperlink malicioso ou arquivos HTML com código JavaScript incorporado que são projetados para baixar um instalador MSI e um script PowerShell, respectivamente.
Independentemente do método utilizado, o ataque culmina na implantação de um arquivo DLL malicioso que, por sua vez, lança o malware Latrodectus.
“O Latrodectus aproveita a infraestrutura mais antiga, combinada com um novo e inovador método de distribuição de carga útil de malware para os setores financeiro, automotivo e empresarial”, disse o pesquisador da Forcepoint, Mayur Sewani.
As campanhas em andamento do Latrodectus coincidem com o retorno do carregador Bumblebee, que emprega um arquivo ZIP provavelmente baixado por meio de e-mails de phishing como mecanismo de entrega.
“O arquivo ZIP contém um arquivo LNK chamado ‘Report-41952.lnk’ que, uma vez executado, inicia uma cadeia de eventos para baixar e executar a carga útil last do Bumblebee na memória, evitando a necessidade de escrever a DLL no disco”, pesquisador da Netskope Leandro Fróes disse.
O arquivo LNK destina-se a executar um comando do PowerShell para baixar um instalador MSI de um servidor remoto. Uma vez lançados, os exemplos MSI, que se disfarçam de instaladores da NVIDIA e Midjourney, servem como um canal para lançar o Bumblebee DLL.
“O Bumblebee usa uma abordagem mais furtiva para evitar a criação de outros processos e evita gravar a carga last no disco”, destacou Fróes.
“Faz isso usando a tabela SelfReg para forçar a execução da função de exportação DllRegisterServer presente em um arquivo da tabela Arquivo. A entrada na tabela SelfReg funciona como uma chave para indicar qual arquivo executar na tabela Arquivo e em nosso caso fosse a DLL de carga útil last.”