LATRODECTUS: Un Nuevo Desafío de Malware

Posted on May 19, 2024
Investigadores de ciberseguridad en Elastic Security Labs han identificado una creciente amenaza en forma del cargador LATRODECTUS. Descubierto en octubre de 2023, este malware está ganando popularidad entre los actores de amenazas debido a su capacidad para evadir las medidas de seguridad y ejecutar código dañino dentro de la memoria de procesos legítimos, lo que hace que sea difícil para las soluciones tradicionales de monitoreo de ejecución de archivos detectar las cargas útiles de malware que entrega.

Este nuevo malware comparte varias características con el cargador ICEDID, incluyendo el uso de técnicas de carga útil encriptada e infraestructura de red similar. A pesar de ser relativamente nuevo, LATRODECTUS facilita extensas operaciones post-intrusión con su código ligero y minimalista.

Las tendencias recientes muestran un aumento en las campañas de correo electrónico que despliegan este cargador. Estas campañas utilizan JavaScript de gran tamaño para instalaciones remotas de MSI a través de WMI o msiexec.exe. Tras el colapso de QBOT y la disminución de ICEDID, LATRODECTUS y PIKABOT están emergiendo como reemplazos simplificados.

LATRODECTUS inicialmente se disfraza como TRUFOS.SYS de Bitdefender, lo que requiere ser desempaquetado. Presenta un DLL con cuatro exportaciones en la misma dirección y utiliza operaciones aritméticas o bitwise en bytes encriptados para ofuscar cadenas. Realiza la resolución dinámica de importaciones, verificando kernel32.dll y ntdll.dll, mientras que otras DLL se someten a búsquedas con comodines y validación CRC32 en el directorio del sistema de Windows.

El cargador emplea varias técnicas anti-análisis, incluyendo el monitoreo de depuradores, la validación del recuento de procesos en ejecución contra los umbrales de la versión del sistema operativo para detectar sandboxes y máquinas virtuales, la verificación de ejecución WOW64 y la verificación de direcciones MAC válidas. Utiliza un typo-mutex “runnung” y genera identificadores de hardware o hashes de campaña a partir de números de serie de volumen.

Para establecer persistencia, el malware configura una tarea programada “Updater” a través de COM de Windows. Recupera dominios de Comando y Control (C2), lee archivos de datos existentes y encripta las comunicaciones C2 utilizando RC4. El cargador puede ejecutar varios comandos, incluyendo la descarga o lanzamiento de archivos PE, DLL, shellcodes, actualizaciones binarias y la entrega de ICEDID.

Para evadir la respuesta a incidentes, LATRODECTUS utiliza flujos de datos alternativos para eliminarse a sí mismo. Sus funcionalidades principales incluyen la recopilación de información sobre procesos y archivos de escritorio, la ejecución de código y la comunicación con servidores C2.

Source: Cyber Security News

Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *