Dos familias de malware que enfrentaron contratiempos tras una operación policial coordinada conocida como Endgame han reaparecido en nuevas campañas de phishing.
Bumblebee y Latrodectus, ambos cargadores de malware, están diseñados para robar información personal y descargar cargas útiles adicionales en sistemas comprometidos.
Latrodectus, que también se conoce como BlackWidow, IceNova, Lotus o Unidentified 111, es considerado un sucesor de IcedID debido a las similitudes en su infraestructura. Se ha utilizado en campañas vinculadas a dos grupos de acceso inicial (IAB) conocidos como TA577 (también llamado Water Curupira) y TA578.
En mayo de 2024, una coalición de países europeos anunció el desmantelamiento de más de 100 servidores relacionados con diversas cepas de malware como IcedID (y, por ende, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot.
“Aunque Latrodectus no fue mencionado en la operación, también fue impactado y su infraestructura quedó fuera de línea”, afirmó el investigador de seguridad de Bitsight, João Batista, en junio de 2024.
Trustwave, una empresa de ciberseguridad, en un análisis reciente, describió a Latrodectus como una “amenaza única” que ha crecido tras la Operación Endgame.
“Aunque inicialmente fue afectado, Latrodectus se recuperó rápidamente, llenando el vacío dejado por otros malware deshabilitados y consolidándose como una amenaza seria”, destacó la empresa.
Las cadenas de ataque suelen aprovechar campañas de malspam, utilizando correos electrónicos comprometidos y suplantando entidades legítimas como Microsoft Azure y Google Cloud para iniciar la implementación del malware.
Recientemente, Forcepoint y Logpoint observaron que los correos electrónicos relacionados con DocuSign contienen archivos PDF adjuntos que incluyen un enlace malicioso o archivos HTML con JavaScript diseñado para descargar un instalador MSI y un script de PowerShell, respectivamente.
Independientemente del método, el ataque culmina en la implementación de un archivo DLL malicioso que lanza el malware Latrodectus.
“Latrodectus se beneficia de una infraestructura más antigua junto con un método innovador para distribuir cargas útiles a los sectores financiero, automotriz y comercial”, señaló Mayur Sewani, investigador de Forcepoint.
Las actuales campañas de Latrodectus coinciden con el resurgimiento del cargador Bumblebee, que utiliza archivos ZIP, probablemente descargados a través de correos de phishing, como medio de entrega.
“El archivo ZIP incluye un archivo LNK llamado ‘Report-41952.lnk’ que, al ejecutarse, inicia una serie de eventos para descargar y ejecutar la carga final de Bumblebee en memoria, evitando que la DLL se escriba en el disco”, explicó el investigador de Netskope, Leandro Fróes.
El archivo LNK ejecuta un comando de PowerShell para descargar un instalador MSI desde un servidor remoto. Una vez ejecutados, estos MSI, que se presentan como instaladores de NVIDIA y Midjourney, permiten ejecutar la DLL de Bumblebee.
“Bumblebee emplea un enfoque más sigiloso para evitar crear otros procesos y evita escribir la carga útil final en el disco”, añadió Fróes.
“Esto se logra mediante el uso de la tabla SelfReg para forzar la ejecución de la función de exportación DllRegisterServer presente en un archivo de la tabla File. La entrada en la tabla SelfReg actúa como una clave para indicar qué archivo ejecutar en la tabla File, que en este caso fue la DLL de la carga útil final”.
Fuente: thehackernews.com