Un malware relativamente nuevo llamado Latrodectus se cree que es una evolución del cargador IcedID, visto en campañas de correo electrónico malicioso desde noviembre de 2023.
El malware fue detectado por investigadores de Proofpoint y Team Cymru, quienes trabajaron juntos para documentar sus capacidades, que aún son inestables y experimentales.
IcedID: Evolución y Riesgos
IcedID es una familia de malware identificada por primera vez en 2017 y clasificada originalmente como un troyano bancario modular diseñado para robar información financiera de computadoras infectadas. Con el tiempo, se volvió más sofisticado, añadiendo capacidades de evasión y ejecución de comandos.
En los últimos años, ha actuado como un cargador que puede entregar otros tipos de malware, incluyendo ransomware, en sistemas infectados.
Latrodectus: Un Nuevo Desafío
Latrodectus fue detectado en noviembre de 2023, utilizado por actores de amenazas rastreados como TA577 y TA578, con un notable aumento en despliegues observados en febrero y marzo de 2024.
Estrategias de Ataque
El actor de amenazas inicia el ataque completando formularios de contacto en línea para enviar avisos falsos de infracción de derechos de autor a las organizaciones objetivo. El enlace en las últimas campañas lleva a la víctima a una URL de Google Firebase que descarga un archivo JavaScript. Cuando se ejecuta, el archivo JS utiliza el instalador de Windows (MSIEXEC) para ejecutar un archivo MSI desde un recurso compartido WebDAV, que contiene la carga útil DLL de Latrodectus.
Amenazas y Evolución
A diferencia de su predecesor, IcedID, Latrodectus realiza varias verificaciones de evasión de sandbox antes de ejecutarse en el dispositivo para evitar la detección y el análisis por parte de los investigadores de seguridad.
Capacidades Maliciosas
Latrodectus es un descargador capaz de recuperar cargas útiles maliciosas adicionales basadas en instrucciones recibidas de un servidor de comando y control (C2). Las infraestructuras de malware están separadas en dos niveles distintos que siguen un enfoque operativo dinámico con respecto a la participación y la duración de la campaña, con la mayoría de los nuevos C2 en línea hacia el final de la semana antes de los ataques.
Advertencia de Seguridad
Proofpoint concluye con una advertencia sobre Latrodectus, estimando una alta probabilidad de que el malware sea utilizado en el futuro por múltiples actores de amenazas que previamente distribuyeron IcedID.
