Descubrir que un simple clic puede comprometer seriamente la seguridad de nuestros dispositivos es una realidad que muchos preferirían ignorar. Sin embargo, es precisamente esta la táctica que emplea 'Latrodectus', un malware emergente con la capacidad de infiltrarse sutilmente en sistemas a través de correos electrónicos aparentemente inofensivos.
Especialistas en la detección de ciberamenazas han identificado un malware reciente, denominado Latrodectus, que ha sido propagado a través de campañas de phishing vía correo electrónico desde finales de noviembre de 2023.
En un análisis conjunto revelado la semana pasada, investigadores de Proofpoint y Team Cymru describieron a Latrodectus como un descargador avanzado dotado de múltiples técnicas para evadir entornos de análisis de seguridad. Su diseño permite la descarga y ejecución de comandos y cargas maliciosas. Se cree que los creadores de Latrodectus son los mismos detrás del conocido malware IcedID. Además, se ha observado que operadores de acceso inicial lo utilizan para desplegar otros tipos de software dañino.
Este malware ha sido asociado principalmente con dos grupos distintos de operadores, como TA577 (también conocido como Water Curupira) y TA578. El primero ha estado implicado también en la distribución de malware como QakBot y PikaBot.
Desde mediados de enero de 2024, TA578 ha empleado Latrodectus casi exclusivamente en campañas de correo electrónico malicioso, en algunos casos a través de infecciones previas con DanaBot.
TA578, activo desde mayo de 2020 aproximadamente, ha estado involucrado en campañas de phishing que distribuyen una variedad de malware incluyendo Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike, y Bumblebee.
Estas operaciones maliciosas utilizan formularios de contacto en sitios web para enviar alertas legales falsas sobre violaciones de derechos de autor a las organizaciones objetivo. Los enlaces en los correos electrónicos redirigen a los receptores hacia sitios web fraudulentos, instándolos a descargar un archivo JavaScript. Este archivo es clave para desencadenar la descarga de la carga útil maliciosa mediante msiexec.
Los investigadores añadieron: "Latrodectus transmite información cifrada del sistema al servidor de comando y control (C2) y procede a solicitar la descarga del bot. Tras el registro del bot en el C2, este inicia solicitudes de comandos desde el servidor C2".
Conoce más sobre: Protección de Phishing: No Muerdas el Anzuelo
Latrodectus incluye funcionalidades avanzadas para determinar si opera en un entorno virtual, comprobando la existencia de una dirección MAC auténtica y verificando si hay al menos 75 procesos activos en sistemas con Windows 10 o superior.
Similar a IcedID, Latrodectus está programado para enviar datos de registro mediante una solicitud POST a su servidor de comando y control (C2), donde los datos se presentan como parámetros HTTP encriptados y concatenados, aguardando posteriormente órdenes adicionales del servidor.
Los comandos recibidos pueden instruir al malware para listar archivos y procesos, ejecutar archivos binarios y DLL, realizar operaciones mediante cmd.exe, actualizar el propio malware o incluso terminar procesos específicos.
Investigaciones detalladas sobre la estructura del ataque revelaron que los servidores C2 iniciales se activaron el 18 de septiembre de 2023, los cuales están diseñados para enlazar con un servidor secundario configurado en agosto de 2023.
La relación de Latrodectus con IcedID se evidencia porque el servidor de nivel 2 "mantiene conexiones con la infraestructura de backend de IcedID" y el uso de "jump boxes" previamente empleados en las actividades maliciosas de IcedID.
"Se anticipa que Latrodectus ganará popularidad entre los criminales cibernéticos con motivaciones financieras en el entorno delictivo, especialmente entre aquellos que distribuían IcedID anteriormente", concluyó el equipo de Cymru.
Te podrá interesar leer: ¿Qué es el Phishing as a Service (PaaS)?
La prevención y mitigación de la amenaza que representa Latrodectus requiere un enfoque multifacético que incluye tanto medidas técnicas como la concienciación y educación de los usuarios. A continuación, te presentamos algunas estrategias recomendadas:
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
En conclusión, Latrodectus representa una amenaza significativa en el panorama actual de la ciberseguridad, destacando la necesidad de una vigilancia constante y una acción proactiva para proteger la información digital. A través de la educación, la adopción de prácticas de seguridad robustas y la implementación de soluciones de seguridad avanzadas, tanto individuos como organizaciones pueden fortalecer sus defensas contra este y otros tipos de malware. La ciberseguridad es una responsabilidad compartida, y enfrentando juntos estos desafíos, podemos esperar construir un entorno digital más seguro para todos.