El malware Latrodectus se está distribuyendo ahora como parte de campañas de phishing que utilizan Microsoft Azure y Cloudflare para dar apariencia de legitimidad y, al mismo tiempo, dificultar la detección de correos maliciosos por parte de las plataformas de seguridad de correo electrónico.
Latrodectus (alias Unidentified 111 y IceNova) es un descargador de malware para Windows cada vez más común, descubierto primero por el equipo de seguridad de Walmart y analizado después por ProofPoint y Team Cymru. Actúa como puerta trasera, descargando cargas útiles EXE y DLL adicionales o ejecutando comandos.
Basándose en su distribución e infraestructura, los investigadores han vinculado el malware a los desarrolladores del cargador modular de malware IcedID, ampliamente distribuido.
Aunque todavía no está claro si tienen previsto retirar IcedID en favor de Latrodectus, este nuevo malware se utiliza cada vez más en campañas de phishing y spam de formularios de contacto para obtener acceso inicial a redes corporativas.
El investigador de seguridad ProxyLife y el grupo Cryptolaemus han descrito el uso de Latrodectus de varios señuelos y temas PDF, con la última campaña utilizando un captcha falso de Cloudflare para evadir el software de seguridad.
Comienza con un correo electrónico
Latrodectus se propaga actualmente a través de correos electrónicos de phishing de cadena de respuesta, que es cuando los actores de amenazas utilizan intercambios de correo electrónico robados y responden con enlaces a malware o archivos adjuntos maliciosos.
ProxyLife explicó a CiberNovedades que esta campaña utiliza archivos PDF adjuntos o URLs incrustadas para iniciar una cadena de ataque que finalmente resulta en la instalación del malware Latrodectus.
Los PDF utilizan nombres genéricos como «04-25-Inv-Doc-339.pdf» y afirman ser un documento alojado en la nube de Microsoft Azure, que primero debe descargarse para poder visualizarse.
Al hacer clic en el botón «Descargar documento», los usuarios son conducidos a una falsa «comprobación de seguridad de Cloudflare» que les pide que resuelvan una sencilla pregunta matemática. Es probable que este captcha impida que los escáneres de seguridad de correo electrónico y los sandboxes rastreen fácilmente la cadena de ataque y sólo entreguen la carga útil a un usuario legítimo.
Cuando se introduce la respuesta correcta en el campo, el captcha falso de Cloudflare descarga automáticamente un archivo JavaScript que simula ser un documento con un nombre similar a «Document_i79_13b364058-83054409r0449-8089z4.js».
El script JavaScript descargado está muy ofuscado por comentarios que incluyen una función oculta que extrae el texto de los comentarios que empiezan por «////» y, a continuación, ejecuta el script para descargar un MSI desde una URL codificada, como se muestra en el script no ofuscado que aparece a continuación.
Cuando se instala el archivo MSI, deja caer un DLL en la carpeta %AppData%\Custom_update llamado Update _b419643a.dll, que luego es lanzado por rundll32.exe. Los nombres de los archivos son probablemente aleatorios para cada instalación.
Esta DLL es el malware Latrodectus, que se ejecutará silenciosamente en segundo plano a la espera de que se instalen cargas útiles o se ejecuten comandos.
Dado que las infecciones de malware Latrodectus se utilizan para soltar otro malware y obtener acceso inicial a las redes corporativas, pueden dar lugar a ataques devastadores.
Actualmente, se ha observado que el malware deja caer el ladrón de información Lumma y el Danabot. Sin embargo, dado que Latrodectus está vinculado a IcedID, estos ataques podrían dar lugar a una gama más amplia de malware en el futuro, como Cobalt Strike, y también podríamos ver asociaciones con bandas de ransomware.
Por lo tanto, si un dispositivo es infectado por Latrodectus, es esencial desconectar el sistema lo antes posible y evaluar la red en busca de cualquier comportamiento inusual.