Dos familias de malware que sufrieron reveses a ra\u00edz de una operaci\u00f3n policial coordinada llamada Endgame han resurgido como parte de nuevas campa\u00f1as de phishing.<\/p>\n
Bumblebee y Latrodectus, ambos cargadores de malware, est\u00e1n dise\u00f1ados para robar datos personales, adem\u00e1s de descargar y ejecutar cargas \u00fatiles adicionales en hosts comprometidos.<\/p>\n
Rastreado bajo los nombres BlackWidow, IceNova, Lotus o Unidentified 111, Latrodectus tambi\u00e9n se considera el sucesor de IcedID debido a las superposiciones de infraestructura entre las dos familias de malware. Se ha utilizado en campa\u00f1as asociadas con dos corredores de acceso inicial (IAB) conocidos como TA577 (tambi\u00e9n conocido como Water Curupira) y TA578.<\/p>\n
En mayo de 2024, una coalici\u00f3n de pa\u00edses europeos dijo que hab\u00eda desmantelado m\u00e1s de 100 servidores vinculados a varias cepas de malware como IcedID (y, por extensi\u00f3n, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/El-malware-Bumblebee-y-Latrodectus-regresa-con-sofisticadas-estrategias-de.png\")
<\/a><\/center><\/div>\n“Aunque Latrodectus no fue mencionado en la operaci\u00f3n, tambi\u00e9n se vio afectado y su infraestructura qued\u00f3 fuera de l\u00ednea”, dijo el investigador de seguridad de Bitsight, Jo\u00e3o Batista. anotado<\/a> en junio de 2024.<\/p>\n La empresa de ciberseguridad Trustwave, en un an\u00e1lisis publicado a principios de este mes, describi\u00f3 a Latrodectus como una “amenaza distinta” que ha recibido un impulso despu\u00e9s de la Operaci\u00f3n Endgame.<\/p>\n “Aunque inicialmente se vio afectado, Latrodectus se recuper\u00f3 r\u00e1pidamente. Sus capacidades avanzadas llenaron el vac\u00edo dejado por sus hom\u00f3logos discapacitados, estableci\u00e9ndose como una amenaza formidable”, dijo la empresa de ciberseguridad. dicho<\/a>.<\/p>\n Las cadenas de ataques suelen aprovechar las campa\u00f1as de malspam, explotando hilos de correo electr\u00f3nico secuestrados y haci\u00e9ndose pasar por entidades leg\u00edtimas como Microsoft Azure y Google Cloud para activar el proceso de implementaci\u00f3n de malware.<\/p>\n La secuencia de infecci\u00f3n recientemente observada por Punto de fuerza<\/a> y Punto de registro<\/a> toma la misma ruta, con mensajes de correo electr\u00f3nico con temas de DocuSign que contienen archivos adjuntos PDF que contienen un enlace malicioso o archivos HTML con c\u00f3digo JavaScript incrustado que est\u00e1n dise\u00f1ados para descargar un instalador MSI y un script de PowerShell, respectivamente.<\/p>\n Independientemente del m\u00e9todo empleado, el ataque culmina con la implementaci\u00f3n de un archivo DLL malicioso que, a su vez, lanza el malware Latrodectus.<\/p>\n “Latrodectus aprovecha la infraestructura m\u00e1s antigua, combinada con un nuevo e innovador m\u00e9todo de distribuci\u00f3n de carga \u00fatil de malware para los sectores financiero, automotriz y empresarial”, dijo el investigador de Forcepoint Mayur Sewani.<\/p>\n Las campa\u00f1as en curso de Latrodectus encajan con el regreso del cargador Bumblebee, que emplea un archivo ZIP probablemente descargado a trav\u00e9s de correos electr\u00f3nicos de phishing como mecanismo de entrega.<\/p>\n “El archivo ZIP contiene un archivo LNK llamado ‘Report-41952.lnk’ que, una vez ejecutado, inicia una cadena de eventos para descargar y ejecutar la carga \u00fatil final de Bumblebee en la memoria, evitando la necesidad de escribir la DLL en el disco”, investigador de Netskope Leandro Froes dicho<\/a>.<\/p>\n El archivo LNK est\u00e1 destinado a ejecutar un comando de PowerShell para descargar un instalador MSI desde un servidor remoto. Una vez lanzadas, las muestras de MSI, que se hacen pasar por instaladores de NVIDIA y Midjourney, sirven como canal para iniciar la DLL de Bumblebee.<\/p>\n “Bumblebee utiliza un enfoque m\u00e1s sigiloso para evitar la creaci\u00f3n de otros procesos y evita escribir la carga \u00fatil final en el disco”, se\u00f1al\u00f3 Fr\u00f3es.<\/p>\n “Lo hace utilizando el Autorregulaci\u00f3n<\/a> tabla para forzar la ejecuci\u00f3n de la funci\u00f3n de exportaci\u00f3n DllRegisterServer presente en un archivo en el Archivo<\/a> mesa. La entrada en la tabla SelfReg funciona como una clave para indicar qu\u00e9 archivo ejecutar en la tabla Archivo y en nuestro caso fue la DLL de carga \u00fatil final”.<\/p>\n <\/p>\n<\/a><\/center><\/div>\n<\/a><\/div>\n