Ciberseguridad 360 | Bumblebee y Latrodectus resurgen con phishing avanzado

Dos familias de malware que sufrieron reveses tras una operaci�n policial coordinada denominada Endgame han reaparecido como parte de nuevas campa�as de phishing.

Bumblebee y Latrodectus, ambos cargadores de malware, est�n dise�ados para robar datos personales, adem�s de descargar y ejecutar cargas �tiles adicionales en hosts comprometidos.

Rastreado bajo los nombres de BlackWidow, IceNova, Lotus o Unidentified 111, Latrodectus tambi�n se considera sucesor de IcedID debido a los solapamientos de infraestructura entre las dos familias de malware. Se ha utilizado en campa�as asociadas a dos brokers de acceso inicial (IAB) conocidos como TA577 (alias Water Curupira) y TA578.

En mayo de 2024, una coalici�n de pa�ses europeos declar� haber desmantelado m�s de 100 servidores vinculados a varias cepas de malware como IcedID (y, por extensi�n, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot.

�Aunque Latrodectus no fue mencionado en la operaci�n, tambi�n se vio afectado y su infraestructura qued� fuera de l�nea�, se�al� el investigador de seguridad de Bitsight Jo�o Batista en junio de 2024.

La firma de ciberseguridad Trustwave, en un an�lisis publicado a principios de este mes, describi� a Latrodectus como una �amenaza distinta� que ha recibido un impulso tras la Operaci�n Endgame.

�Aunque inicialmente se vio afectado, Latrodectus se recuper� r�pidamente. Sus capacidades avanzadas llenaron el vac�o dejado por sus hom�logos desactivados, estableci�ndose como una amenaza formidable�, dijo la compa��a de ciberseguridad.

Las cadenas de ataque suelen aprovechar las campa�as de malspam, explotando hilos de correo electr�nico secuestrados y haci�ndose pasar por entidades leg�timas como Microsoft Azure y Google Cloud para activar el proceso de despliegue del malware.

La secuencia de infecci�n recientemente observada por Forcepoint y Logpoint sigue la misma ruta, con los mensajes de correo electr�nico tem�ticos de DocuSign que llevan adjuntos PDF que contienen un enlace malicioso o archivos HTML con c�digo JavaScript incrustado que est�n dise�ados para descargar un instalador MSI y un script PowerShell, respectivamente.

Independientemente del m�todo empleado, el ataque culmina con el despliegue de un archivo DLL malicioso que, a su vez, lanza el malware Latrodectus.

�Latrodectus aprovecha una infraestructura m�s antigua, combinada con un nuevo e innovador m�todo de distribuci�n de malware a los sectores financiero, automovil�stico y empresarial�, afirma Mayur Sewani, investigador de Forcepoint.

Las campa�as en curso de Latrodectus coinciden con el regreso del cargador Bumblebee, que utiliza un archivo ZIP probablemente descargado a trav�s de correos electr�nicos de phishing como mecanismo de distribuci�n.

�El archivo ZIP contiene un archivo LNK llamado 'Report-41952.lnk' que, una vez ejecutado, inicia una cadena de eventos para descargar y ejecutar el payload final de Bumblebee en memoria, evitando la necesidad de escribir la DLL en disco�, explic� Leandro Fr�es, investigador de Netskope.

El archivo LNK est� destinado a ejecutar un comando PowerShell para descargar un instalador MSI desde un servidor remoto. Una vez ejecutado, las muestras MSI, que se hacen pasar por instaladores de NVIDIA y Midjourney, sirven de canal para lanzar la DLL de Bumblebee.

�Bumblebee utiliza un enfoque m�s sigiloso para evitar la creaci�n de otros procesos y evita escribir la carga �til final en el disco�, se�ala Fr�es.

�Lo hace utilizando la tabla SelfReg para forzar la ejecuci�n de la funci�n de exportaci�n DllRegisterServer presente en un archivo de la tabla File. La entrada en la tabla SelfReg funciona como clave para indicar qu� fichero ejecutar en la tabla File y en nuestro caso era la DLL de la carga �til final.�

Fuente: thehackernews