Dos familias de malware que sufrieron reveses a raíz de una operación policial coordinada llamada Endgame han resurgido como parte de nuevas campañas de phishing.
Bumblebee y Latrodectus, ambos cargadores de malware, están diseñados para robar datos personales, además de descargar y ejecutar cargas útiles adicionales en hosts comprometidos.
Rastreado bajo los nombres BlackWidow, IceNova, Lotus o Unidentified 111, Latrodectus también se considera el sucesor de IcedID debido a las superposiciones de infraestructura entre las dos familias de malware. Se ha utilizado en campañas asociadas con dos corredores de acceso inicial (IAB) conocidos como TA577 (también conocido como Water Curupira) y TA578.
En mayo de 2024, una coalición de países europeos dijo que había desmantelado más de 100 servidores vinculados a varias cepas de malware como IcedID (y, por extensión, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot.
“Aunque Latrodectus no fue mencionado en la operación, también se vio afectado y su infraestructura quedó fuera de línea”, señaló el investigador de seguridad de Bitsight, João Batista, en junio de 2024.
La empresa de ciberseguridad Trustwave, en un análisis publicado a principios de este mes, describió a Latrodectus como una “amenaza distinta” que ha recibido un impulso después de la Operación Endgame.
“Aunque inicialmente se vio afectado, Latrodectus se recuperó rápidamente. Sus capacidades avanzadas llenaron el vacío dejado por sus homólogos discapacitados, estableciéndose como una amenaza formidable”, dijo la empresa de ciberseguridad.
Las cadenas de ataques suelen aprovechar las campañas de malspam, explotando hilos de correo electrónico secuestrados y haciéndose pasar por entidades legítimas como Microsoft Azure y Google Cloud para activar el proceso de implementación de malware.
La secuencia de infección recientemente observada por Forcepoint y Logpoint toma la misma ruta, con mensajes de correo electrónico con temática de DocuSign que contienen archivos adjuntos PDF que contienen un enlace malicioso o archivos HTML con código JavaScript incrustado que están diseñados para descargar un instalador MSI y un script de PowerShell, respectivamente.
Independientemente del método empleado, el ataque culmina con la implementación de un archivo DLL malicioso que, a su vez, lanza el malware Latrodectus.
“Latrodectus aprovecha la infraestructura más antigua, combinada con un nuevo e innovador método de distribución de carga útil de malware para los sectores financiero, automotriz y empresarial”, dijo el investigador de Forcepoint Mayur Sewani.
Las campañas en curso de Latrodectus encajan con el regreso del cargador Bumblebee, que emplea un archivo ZIP probablemente descargado a través de correos electrónicos de phishing como mecanismo de entrega.
“El archivo ZIP contiene un archivo LNK llamado ‘Report-41952.lnk’ que, una vez ejecutado, inicia una cadena de eventos para descargar y ejecutar la carga útil final de Bumblebee en la memoria, evitando la necesidad de escribir la DLL en el disco”, investigador de Netskope Dijo Leandro Fróes.
El archivo LNK está destinado a ejecutar un comando de PowerShell para descargar un instalador MSI desde un servidor remoto. Una vez lanzadas, las muestras de MSI, que se hacen pasar por instaladores de NVIDIA y Midjourney, sirven como canal para iniciar la DLL de Bumblebee.
“Bumblebee utiliza un enfoque más sigiloso para evitar la creación de otros procesos y evita escribir la carga útil final en el disco”, señaló Fróes.
“Lo hace utilizando la tabla SelfReg para forzar la ejecución de la función de exportación DllRegisterServer presente en un archivo en la tabla File. La entrada en la tabla SelfReg funciona como una clave para indicar qué archivo ejecutar en la tabla File y en nuestro En caso de que fuera la DLL de carga útil final”.