Proofpoint, in collaborazione con il Team Cymru S2 Threat Research, ha identificato una nuova minaccia informatica chiamata Latrodectus, che emerge come successore del noto malware IcedID. Questa scoperta offre una panoramica dettagliata sull’evoluzione delle campagne di minacce e sottolinea l’importanza della vigilanza nel panorama cyber in continua evoluzione.
Origine e evoluzione
Latrodectus è stato osservato per la prima volta nelle campagne di email minacciose a fine novembre 2023, con un aumento dell’uso nelle campagne tra febbraio e marzo 2024. Inizialmente distribuito dall’attore minaccioso TA577, noto per la distribuzione prolifica di Qbot prima dell’interruzione del malware nel 2023, Latrodectus è stato successivamente adottato da un altro attore, TA578, nei suoi schemi di attacco.
Caratteristiche distintive
Questo downloader emergente, sebbene simile a IcedID, è stato confermato come un malware completamente nuovo, probabilmente sviluppato dagli stessi creatori di IcedID. Condivide sovrapposizioni infrastrutturali con le operazioni storiche di IcedID, suggerendo una transizione strategica da parte degli attori minacciosi.
Dettagli delle Campagne
Campagne TA577
Nel novembre 2023, TA577 ha utilizzato Latrodectus in tre campagne distinte, deviando dalle tattiche precedentemente osservate e utilizzando una varietà di soggetti con URL nei corpi delle email per distribuire il malware.
Campagne TA578
Dal gennaio 2024, Latrodectus è stato quasi esclusivamente distribuito da TA578, che in genere utilizza moduli di contatto per avviare una conversazione con il bersaglio. Una campagna del dicembre 2023 ha segnato l’uso iniziale di Latrodectus da parte di TA578, consegnato tramite un’infezione di DanaBot.
Analisi del Malware
Latrodectus implementa varie funzionalità di evasione dei sandbox, raccoglie informazioni sul sistema operativo, verifica la presenza di debugger, e assicura che il computer non abbia un’infezione Latrodectus in esecuzione. Una volta superati questi controlli, il malware tenta di installarsi, creando un compito pianificato per garantire la persistenza e inizia a comunicare con il server di comando e controllo (C2) per ricevere ulteriori comandi.
Implicazioni per la Sicurezza
L’ascesa di Latrodectus rappresenta una nuova sfida per i difensori, evidenziando l’importanza di comprendere le tattiche, le tecniche e le procedure (TTP) esibite dal malware e dalle campagne associate. La capacità di Latrodectus di incorporare funzionalità di evasione dei sandbox allinea la tendenza nel panorama delle minacce informatiche, in cui gli autori di malware cercano sempre più di eludere i difensori.
Mentre Latrodectus continua a essere sviluppato attivamente, la sua presenza nel panorama delle minacce informatiche è un promemoria del dinamico campo di battaglia cyber in cui difensori e attaccanti si evolvono costantemente. La comprensione approfondita di queste nuove minacce è essenziale per mantenere la sicurezza delle informazioni e prevenire violazioni dannose.
