Cuidado con la viuda negra: Latrodectus teje una red mortífera para tus datos
Los investigadores registran un fuerte aumento en las campañas que utilizan el malware peligroso.
Desde principios de marzo de este año, los investigadores de ciberseguridad han registrado un fuerte aumento en las campañas de phishing destinadas a distribuir el nuevo programa de descarga de malware Latrodectus (traducido como «viuda negra»), considerado el sucesor de IcedID.
Los expertos Daniel Stepanitsch y Samir Boussadene de Elastic Security Labs informaron que estas campañas utilizan grandes archivos JavaScript que aprovechan las capacidades de WMI para ejecutar «msiexec.exe» e instalar un archivo MSI alojado remotamente a través de WEBDAV.
Latrodectus tiene las funciones estándar asociadas con el malware diseñado para descargar cargas útiles adicionales como QakBot, DarkGate y PikaBot, permitiendo a los atacantes realizar varias actividades post-explotación. El análisis reveló que el malware enumera y ejecuta comandos activamente, e incluye una técnica de autoeliminación.
Además, Latrodectus se hace pasar por bibliotecas relacionadas con software legítimo, ofusca su código fuente y realiza comprobaciones de análisis para evitar su ejecución en entornos de depuración o aparcados.
El malware también establece una presencia persistente en sistemas Windows a través de tareas programadas y se comunica con un servidor de comando y control (C2) a través de HTTPS para recibir órdenes que le permiten recopilar información del sistema, actualizarse, reiniciarse, terminar, ejecutar shellcode, DLLs y archivos ejecutables.
Entre los nuevos comandos añadidos a Latrodectus desde finales del año pasado se encuentran comandos para enumerar archivos en el escritorio y obtener toda la cadena de procesos ejecutables en el dispositivo infectado. El malware también admite un comando para cargar y ejecutar IcedID, aunque los investigadores de Elastic no han visto este comportamiento en la práctica.
«Claramente, hay algún tipo de conexión o acuerdo de trabajo entre IcedID y Latrodectus», afirmaron los expertos. «Existe la hipótesis de que Latrodectus se está desarrollando activamente como reemplazo de IcedID, y el comando de carga #18 se incluyó mientras los desarrolladores prueban las capacidades del nuevo malware».
Así, los ciberdelincuentes continúan mejorando sus métodos de distribución de malware, creando nuevos cargadores y bots sofisticados para infiltrarse en los sistemas informáticos. Se adaptan y utilizan técnicas avanzadas de enmascaramiento para evadir la detección de los antivirus.
Es crucial mantener actualizadas las defensas de seguridad, aumentar la concientización de los usuarios e implementar una protección multinivel para contrarrestar las amenazas cibernéticas en constante evolución.
¿Estás cansado de que Internet sepa todo sobre ti?