Desenvolvedores do malware IcedID criaram o Latrodectus

Segundo os pesquisadores da Proofpoint e Team Cymru, tudo indica que os desenvolvedores do malware IcedID criaram o Latrodectus.

IcedID é uma família de malware identificada pela primeira vez em 2017 que foi originalmente classificada como um trojan bancário modular projetado para roubar informações financeiras de computadores infectados.

Com o tempo, tornou-se mais sofisticado, acrescentando capacidades de evasão e execução de comandos.

Nos últimos anos, ele atuou como um carregador que pode entregar outros tipos de malware, incluindo ransomware, em sistemas infectados.

A partir de 2022, várias campanhas do IcedID demonstraram táticas de entrega diversificadas, mas o método de distribuição principal continuou sendo e-mails maliciosos.

No final de 2022, novas variantes do malware foram usadas em ataques, que experimentaram vários truques de evasão e novos conjuntos de ataques.

Em Fevereiro de 2024, um dos líderes por detrás da operação IcedID confessou-se culpado nos Estados Unidos, podendo ser condenado a 40 anos de prisão.

Agora, os pesquisadores da Proofpoint e Team Cymru agora acreditam que os desenvolvedores do IcedID criaram o Latrodectus depois de observarem que compartilhavam infraestrutura e sobreposições operacionais.

Desenvolvedores do malware IcedID criaram o Latrodectus

Desenvolvedores do malware IcedID criaram o Latrodectus
Desenvolvedores do malware IcedID criaram o Latrodectus

Acredita-se que um malware relativamente novo chamado Latrodectus seja uma evolução do carregador IcedID, visto em campanhas de e-mail maliciosas desde novembro de 2023.

O malware foi detectado por pesquisadores da Proofpoint e Team Cymru, que trabalharam juntos para documentar suas capacidades, que ainda são instáveis e experimentais.

Se o Latrodectus substituirá o IcedID é muito cedo para dizer. No entanto, os investigadores dizem que os corretores de acesso inicial (TA577 e TA578) que anteriormente distribuíam o IcedID começaram agora a distribuir cada vez mais o Latrodectus em campanhas de phishing.

Desenvolvedores do malware IcedID criaram o Latrodectus
Desenvolvedores do malware IcedID criaram o Latrodectus – Sobreposições de infraestrutura (Proofpoint)

Novo malware Latrodectus

O Latrodectus foi detectado em novembro de 2023, usado por agentes de ameaças rastreados como TA577 e TA578, com um aumento notável nas implantações observadas em fevereiro e março de 2024.

O autor da ameaça inicia o ataque preenchendo formulários de contato on-line para enviar avisos falsos de violação de direitos autorais às organizações visadas.

O site BleepingComputer relatou anteriormente campanhas semelhantes no passado e, para proprietários de sites não familiarizados com esse ataque de phishing, pode ser estressante recebê-las e pode assustar os destinatários e fazê-los clicar em links incorporados.

Desenvolvedores do malware IcedID criaram o Latrodectus
Desenvolvedores do malware IcedID criaram o Latrodectus – Mensagem maliciosa usada em um ataque Latrodectus (Proofpoint)

O link nas campanhas mais recentes leva a vítima a um URL do Google Firebase que contém um arquivo JavaScript.

Quando executado, o arquivo JS usa o instalador do Windows (MSIEXEC) para executar um arquivo MSI de um compartilhamento WebDAV, que contém a carga útil da DLL Latrodecturs.

Ao contrário de seu antecessor, o IcedID, o Latrodectus realiza várias verificações de evasão de sandbox antes de ser executado no dispositivo para evitar detecção e análise por pesquisadores de segurança.

As verificações incluem:

  1. Se for Windows 10 ou mais recente, tenha pelo menos 75 processos em execução
  2. Se for anterior ao Windows 10, tenha pelo menos 50 processos em execução
  3. Certifique-se de que o aplicativo de 64 bits esteja sendo executado em um host de 64 bits
  4. Certifique-se de que o host tenha um endereço MAC válido

Após as verificações de ambiente e mutex necessárias, o malware é inicializado enviando um relatório de registro da vítima aos seus operadores.

Latrodectus é um downloader capaz de recuperar outras cargas maliciosas com base em instruções recebidas de um servidor de comando e controle (C2).

Os comandos que o Latrodectus suporta são os seguintes:

  • Obtenha os nomes dos arquivos na área de trabalho
  • Obtenha a lista de processos em execução
  • Envie informações adicionais do sistema
  • Execute um arquivo executável
  • Execute uma DLL com uma determinada exportação
  • Passe uma string para cmd e execute-a
  • Atualize o bot e acione uma reinicialização
  • Encerre o processo em execução
  • Baixe “bp.dat” e execute-o
  • Defina um sinalizador para redefinir o tempo das comunicações
  • Redefinir a variável do contador usada nas comunicações

A infraestrutura do malware é separada em dois níveis distintos que seguem uma abordagem de operação dinâmica em relação ao envolvimento na campanha e à vida útil, com a maioria dos novos C2 ficando online no final da semana anterior aos ataques.

A Proofpoint conclui com um aviso sobre o Latrodectus, estimando uma alta probabilidade de o malware ser usado no futuro por vários atores de ameaças que distribuíram anteriormente o IcedID.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.