Malware Latrodectus

Los analistas de seguridad han descubierto un nuevo malware denominado Latrodectus, que ha circulado a través de esfuerzos de phishing por correo electrónico desde al menos finales de noviembre de 2023. Latrodectus se destaca como un descargador emergente equipado con diversas capacidades de evasión de sandbox, meticulosamente diseñado para recuperar cargas útiles y ejecutar comandos arbitrarios.

Hay indicios que implican que los creadores del notorio malware IcedID probablemente estén detrás del desarrollo de Latrodectus. Los agentes de acceso inicial (IAB) emplean este programa de descarga para agilizar la implementación de otro software malicioso.

Latrodectus se asocia predominantemente con dos BIA distintos, identificados como TA577 (también conocido como Water Curupira) y TA578. Es de destacar que TA577 también ha estado implicado en la difusión de QakBot y PikaBot .

Latrodectus puede estar reemplazando amenazas de malware más antiguas

A mediados de enero de 2024, TA578 había utilizado predominantemente Latrodectus en campañas de amenazas basadas en correo electrónico, a menudo difundidas a través de infecciones de DanaBot . TA578, un actor conocido desde al menos mayo de 2020, ha estado asociado con varias campañas de correo electrónico que distribuyen Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike y Bumblebee .

Las secuencias de ataque implican la explotación de formularios de contacto de sitios web para enviar amenazas legales sobre supuestas violaciones de derechos de autor a organizaciones específicas. Los enlaces integrados en estos mensajes redirigen a los destinatarios a sitios web engañosos y les solicitan que descarguen un archivo JavaScript responsable de iniciar la carga útil principal a través de msiexec.

Latrodectus cifra los datos del sistema y los reenvía al servidor de comando y control (C2), iniciando una solicitud de descarga del bot. Una vez que el bot establece contacto con el C2, procede a solicitarle comandos.

El malware Latrodectus puede ejecutar numerosos comandos invasivos

El malware posee la capacidad de detectar entornos aislados verificando la presencia de una dirección MAC válida y un mínimo de 75 procesos en ejecución en sistemas que ejecutan Windows 10 o posterior.

Al igual que IcedID, Latrodectus está programado para transmitir detalles de registro mediante una solicitud POST al servidor C2, donde los campos se concatenan en parámetros HTTP y se cifran. Posteriormente queda a la espera de nuevas instrucciones del servidor. Estos comandos permiten al malware enumerar archivos y procesos, ejecutar archivos binarios y DLL, emitir directivas arbitrarias a través de cmd.exe, actualizar el bot e incluso finalizar procesos en ejecución.

Un examen más detallado de la infraestructura del atacante revela que los servidores C2 iniciales entraron en funcionamiento el 18 de septiembre de 2023. Estos servidores están configurados para interactuar con un servidor de nivel 2 ascendente establecido alrededor de agosto de 2023.

La asociación entre Latrodectus e IcedID es evidente a partir de las conexiones del servidor T2 con la infraestructura backend vinculada a IcedID, junto con la utilización de jump boxes previamente vinculados a las operaciones de IcedID.

Los investigadores anticipan un aumento en el uso de Latrodectus por parte de actores de amenazas con motivación financiera en el ámbito criminal, especialmente aquellos que han difundido previamente IcedID.