Al principio, los analistas pensaron que el programa de descarga era una variante del conocido malware IcedID, pero resulta que Latrodectus es algo completamente nuevo. El malware está siendo utilizado por corredores de acceso inicial (IAB) en campañas de amenazas por correo electrónico, y los investigadores detrás del descubrimiento en Proofpoint y el equipo de investigación de amenazas Team Cymru S2 predicen que Latrodectus continuará ganando impulso entre los actores de amenazas. Esto se debe en gran parte a su capacidad para evadir la detección de la zona de pruebas, dijeron los investigadores. “Después de la inicialización, el malware verificará su entorno para confirmar que no se está ejecutando en un entorno limitado, confirmando la cantidad de procesos en ejecución en el dispositivo, luego verificando que se esté ejecutando en un host de 64 bits y, por último, el malware busca para ver si el host tiene una dirección MAC válida”, según un comunicado de Adam Neel, ingeniero de detección de amenazas en Critical Start. «Estas técnicas de evasión del sandbox pueden frenar a los investigadores y defensores a la hora de analizar muestras de Latrodectus». Descubierto por primera vez a finales de 2023, ha habido un claro aumento en la actividad de amenazas utilizando el nuevo cargador durante febrero y marzo, advirtió el informe. Aunque no es una variante de IcedID, los investigadores descubrieron que Latrodectus (llamado así por una cadena de código encontrada durante el análisis) tiene características similares, lo que llevó al equipo a concluir que ambos fueron creados por los mismos desarrolladores. El primer grupo que utilizó Latrodectus en noviembre de 2023 fue TA577, y ha estado dependiendo de él casi exclusivamente desde mediados de enero de 2024, según el informe. Antes de capturar a Latrodectus, el grupo adversario estaba usando IcedID, añadió. En febrero, los investigadores descubrieron que otro grupo, TA578, estaba distribuyendo Latrodectus en una campaña que enviaba amenazas de acciones legales por infracción de derechos de autor como señuelo de phishing. ¿Es Latrodectus Downloader el nuevo QBot? El nuevo descargador Latrodectus está posicionado para llenar el vacío dejado por la eliminación del malware QBot (también conocido como Qakbot) en el verano de 2023, según una declaración de Ken Dunham, director de amenazas cibernéticas de la Unidad de Investigación de Amenazas de Qualys. «TA577 y otros actores están afiliados a Qbot y ahora, una nueva campaña de malware, Latrodectus», explicó Dunham. «Parece probable que los actores detrás de QBot sintieran la presión de los derribos el año pasado y migraran a esta nueva base de código e infraestructura en el otoño de 2023». Los expertos aconsejan que el conocimiento del uso activo de Latrodectus en campañas de correo electrónico, junto con la vigilancia, ayudará a las empresas a defenderse contra el descargador actualizado. El nuevo informe de Latrodectus proporciona tácticas, técnicas y procedimientos para ayudar. «Es posible que esta no sea la última forma de Latrodectus y podría seguir creciendo y diferenciándose más de IcedID en el futuro», añadió Neel. «Latrodectus se distribuye actualmente a través de campañas de correo electrónico, por lo que la necesidad de concienciar sobre el phishing sigue siendo increíblemente importante».
Deja una respuesta