Netskope vuelve a ser reconocido como Líder en el Cuadrante™ Mágico de Gartner® para plataformas SASE. Obtener el Informe

cerrar
cerrar
Su red del mañana
Su red del mañana
Planifique su camino hacia una red más rápida, más segura y más resistente diseñada para las aplicaciones y los usuarios a los que da soporte.
          Descubra Netskope
          Ponte manos a la obra con la plataforma Netskope
          Esta es su oportunidad de experimentar de primera mano la Netskope One plataforma de una sola nube. Regístrese para participar en laboratorios prácticos a su propio ritmo, únase a nosotros para una demostración mensual del producto en vivo, realice una prueba de manejo gratuita de Netskope Private Accesso únase a nosotros para talleres en vivo dirigidos por instructores.
            Líder en SSE. Ahora es líder en SASE de un solo proveedor.
            Netskope ha sido reconocido como Líder con mayor visión tanto en plataformas SSE como SASE
            2X líder en el Cuadrante Mágico de Gartner® para SASE Plataforma
            Una plataforma unificada creada para tu viaje
              Protección de la IA generativa para principiantes
              Protección de la IA generativa para principiantes
              Descubra cómo su organización puede equilibrar el potencial innovador de la IA generativa con sólidas prácticas de seguridad de Datos.
                Prevención de pérdida de datos (DLP) moderna para dummies eBook
                Prevención moderna de pérdida de datos (DLP) para Dummies
                Obtenga consejos y trucos para la transición a una DLP entregada en la nube.
                  Libro SD-WAN moderno para principiantes de SASE
                  SD-WAN moderna para maniquíes SASE
                  Deje de ponerse al día con su arquitectura de red
                    Entendiendo dónde está el riesgo
                    Advanced Analytics transforma la forma en que los equipos de operaciones de seguridad aplican los conocimientos basados en datos para implementar una mejor política. Con Advanced Analytics, puede identificar tendencias, concentrarse en las áreas de preocupación y usar los datos para tomar medidas.
                        Soporte técnico Netskope
                        Soporte técnico Netskope
                        Nuestros ingenieros de soporte cualificados ubicados en todo el mundo y con distintos ámbitos de conocimiento sobre seguridad en la nube, redes, virtualización, entrega de contenidos y desarrollo de software, garantizan una asistencia técnica de calidad en todo momento
                          Vídeo de Netskope
                          Netskope Training
                          La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube. Estamos aquí para ayudarle a proteger su proceso de transformación digital y aprovechar al máximo sus aplicaciones cloud, web y privadas.

                            La rápida evolución de Latrodectus continúa con las últimas características de Nuevo Payload

                            29 de agosto de 2024

                            Resumen

                            Latrodectus es un descargador descubierto por primera vez por Walmart en octubre de 2023. El Malware se hizo muy famoso debido a sus similitudes con el famoso Malware IcedID , no solo en el código en sí sino también en la infraestructura, como informaron anteriormente Proofpoint y Team Cymru S2. 

                            El malware generalmente se entrega a través de campañas de spam de Correo electrónico realizadas por dos actores de amenazas específicos: TA577 y TA578. Entre las diversas características que contiene se encuentra la capacidad de descargar y ejecutar cargas útiles adicionales, recopilar y enviar información del sistema al C2, finalizar procesos y más. En julio de 2024 también se observó la entrega de Latrodectus por un tejón BRC4.

                            Durante las actividades de búsqueda de Threat Labs, descubrimos una versión Nuevo de la carga útil de Latrodectus, la versión 1.4. Las actualizaciones de malware incluyen un enfoque diferente de desofuscación de cadenas, un punto de conexión Nuevo C2, dos comandos de puerta trasera Nuevo y más.

                            En este blog, nos centraremos en las características agregadas/actualizadas en esta versión Nuevo.

                            Análisis de archivos JavaScript

                            La primera carga útil de la cadena de infección es un archivo JavaScript ofuscado utilizando un enfoque similar al utilizado por otras campañas de Latrodectus. La técnica de ofuscación se emplea mediante la adición de varios comentarios en el archivo, lo que dificulta su análisis, así como el aumento considerable del tamaño del archivo.

                            El código relevante está presente entre los comentarios basura y, una vez eliminado del archivo, podemos ver el código que se ejecutaría.

                            El malware busca líneas que comiencen con la cadena "/////", las coloca en un búfer y las ejecuta como una función JS. A continuación, la función ejecutada descarga un archivo MSI de un servidor remoto y lo ejecuta/instala.

                            Análisis de archivos MSI

                            Una vez ejecutado/instalado, el archivo MSI utiliza la herramienta rundll32.exe de Windows para cargar una DLL llamada "nvidia.dll" y llama a una función denominada "AnselEnableCheck" exportada por este archivo DLL. La DLL maliciosa se almacena dentro de un archivo CAB llamado "disk1", presente en el propio archivo MSI:

                            Análisis de Crypter

                            En un intento de ofuscar la carga útil principal, el "nvidia.dll" utiliza un cifrador llamado Dave. Este encriptador existe desde hace mucho tiempo y fue utilizado en el pasado por otros programas maliciosos como Emotet, BlackBasa y versiones anteriores de Latrodectus.

                            El cifrador almacena la carga útil que se ejecutará en un recurso o en una sección. En la muestra analizada, la carga útil se almacena en una sección denominada "V+N".

                            Los pasos utilizados para desofuscar, cargar y ejecutar la carga útil final son bastante simples. El malware mueve una clave a la pila y resuelve las funciones de la API de Windows VirtualAlloc, LoadLibrary y GetProcAddress.

                            A continuación, asigna memoria mediante la función VirtualAlloc y realiza una operación XOR de varios bytes con los datos de la sección mencionada utilizando la clave establecida anteriormente y el resultado de la operación es la carga útil final. Los siguientes pasos implican alinear la carga útil en la memoria y llamar a su función principal.

                            Dado que el cifrador primero copia la carga original a la memoria asignada antes de que se realicen los otros pasos, simplemente se puede volcar el contenido de la primera memoria asignada y obtener la carga útil final. Aquí se puede encontrar un script para desempaquetar/desofuscar estáticamente las cargas útiles de Latrodectus utilizando el cifrado Dave.

                            La carga final es un archivo DLL y el código del cifrado llama a su función DllMain. El siguiente paso es la ejecución de la función exportada "AnselEnableCheck", que es responsable de la ejecución de la carga útil final. 

                            Al observar la carga útil final, notamos que tiene múltiples funciones exportadas, aunque dado que todas tienen el mismo RVA, no importa cuál se llame.

                            Análisis DLL de Latrodectus

                            Dado que las características generales de la carga útil principal ya fueron descritas en el pasado por otros investigadores, las siguientes secciones se centrarán en las actualizaciones empleadas por la versión Nuevo Latrodectus.

                            Ofuscación de cadenas

                            A diferencia de las versiones anteriores que utilizaban una operación XOR para desofuscar sus cadenas, la versión actualizada utiliza AES256 en modo CTR. La clave AES está codificada en la propia función de desofuscación y el IV cambia para cada cadena que se va a descifrar. La clave utilizada en las muestras analizadas es "d623b8ef6226cec3e24c55127de873e7839c776bb1a93b57b25fdbea0db68ea2".

                            La función de desofuscación recibe dos parámetros. El primero es un fragmento de datos y el segundo un búfer de salida. El fragmento de datos se usa para almacenar la información utilizada para descifrar la cadena y sigue el formato que se indica a continuación:

                            • Longitud de la cadena: 2 bytes
                            • IV: 16 bytes
                            • Cadena cifrada: tamaño especificado en el primer campo

                            Una cosa a tener en cuenta es que a veces habrá bytes adicionales después del contenido de la cadena cifrada. La siguiente imagen es un ejemplo de este fragmento de datos:

                            ID de campaña

                            En la versión actual de malware, la función de generación de ID de campaña sigue utilizando el mismo enfoque en el que se aplica un hash a una cadena de entrada mediante el algoritmo FNV . Sin embargo, se utilizó una cadena de entrada Nuevo "Wiski", lo que dio como resultado el hash 0x24e7ce9e como ID de campaña.

                            Comunicación C2

                            Para su comunicación inicial con el servidor C2, Latrodectus recopila mucha información del sistema infectado, como el nombre de usuario, la versión del sistema operativo y la dirección MAC. La información se formatea utilizando un patrón específico, se encripta mediante el algoritmo RC4, se codifica mediante base64 y se envía al C2.

                            Las claves RC4 encontradas en las muestras analizadas fueron "2sDbsEUXvhgLOO4Irt8AF6el3jJ0M1MowXyao00Nn6ZUjtjXwb" y "kcyBA7IbADOhw5ztcv09vmF8GYmR38eu7OGdfD7pyRelTPKH1G". 

                            Durante el formateo de datos, podemos marcar el número de versión 1.4 que se está estableciendo.

                            La información se envía en el cuerpo HTTP a través de una solicitud HTTP POST. El punto de conexión utilizado en las variantes Nuevo es "/test" en lugar de "/live" como se observó en versiones anteriores. Aunque es un indicador muy débil, el uso de este endpoint específico podría indicar que se trata de una versión de prueba del malware.

                            Comandos

                            En la versión 1.4, Latrodectus ha introducido dos comandos Nuevo en su carga útil: el ID de comando 22 y 25.

                            Comando 0x16

                            En este comando, el malware descarga un shellcode del servidor especificado y lo ejecuta a través de un hilo Nuevo.

                            La diferencia entre este comando y el comando 14 es que una función que realiza la codificación base64 se pasa como parámetro al propio shellcode. La dirección de la función base64 se almacena en una vista de archivo asignada llamada "12345".

                            Comando 0x19

                            En este comando, el malware recibe un nombre de archivo y una ubicación remota desde la que descargar el archivo. A continuación, el nombre del archivo se anexa a %AppData%, el archivo se descarga y su contenido se escribe en la ruta mencionada.

                            Teniendo en cuenta estas adiciones, a continuación se muestra una tabla de los comandos actualizados compatibles con el malware:

                            ID de comandoDescription
                            2Recopilar una lista de nombres de archivos de escritorio
                            3Recopilación de información sobre los procesos en ejecución
                            4Recopilar información del sistema
                            12Descargar y ejecutar un ejecutable normal
                            13Descargar y ejecutar una DLL a través de rundll32
                            14Descargar y ejecutar un shellcode
                            15Actualización automática
                            17Terminar en sí mismo
                            18Descargar y ejecutar la carga útil IcedID
                            19Aumentar el tiempo de espera del sueño
                            20Restablecer contador de solicitudes
                            21Descargar y ejecutar el módulo stealer
                            22Descargue y ejecute un shellcode pasando la función de codificación base64 como parámetro
                            25Descargar un archivo en el directorio %AppData%

                            Detección de Netskope

                            • Netskope Threat Protection
                              • Gen:Variant.Ulise.493872
                              • Troyano.Genérico.36724146
                            • Netskope Advanced Threat Protection proporciona una cobertura proactiva contra esta amenaza.
                              • Win64.Trojan.ShellCoExec

                            Conclusión

                            Latrodectus ha evolucionado bastante rápido, añadiendo características Nuevo a su carga útil. La comprensión de las actualizaciones aplicadas a su carga útil permite a los defensores mantener las canalizaciones automatizadas configuradas correctamente, así como utilizar la información para una mayor búsqueda de variantes Nuevo. Netskope Threat Labs continuará rastreando cómo evoluciona el Latrodectus y su TTP.

                            Iocs

                            Todos los IOCs y scripts relacionados con este Malware se pueden encontrar en nuestro repositorio de GitHub.

                            author image
                            Leandro Fróes
                            Leandro Fróes es Ingeniero Senior de Investigación de Amenazas en Netskope, donde se centra en la investigación de Malware, ingeniería inversa, automatización y mejora de productos.
                            Leandro Fróes es Ingeniero Senior de Investigación de Amenazas en Netskope, donde se centra en la investigación de Malware, ingeniería inversa, automatización y mejora de productos.
                            Conéctese con Netskope

                            Subscribe to the Netskope Blog

                            Sign up to receive a roundup of the latest Netskope content delivered directly in your inbox every month.