Sumário
Latrodectus é um downloader descoberto pela primeira vez pelo Walmart em outubro de 2023. O malware ficou muito famoso devido às suas semelhanças com o famoso malware IceDid, não apenas no código em si, mas também na infraestrutura, conforme relatado anteriormente pela Proofpoint e pelo Team Cymru S2.
O malware geralmente é entregue por meio de campanhas de spam por e-mail conduzidas por dois agentes de ameaças específicos: TA577 e TA578. Entre os vários recursos que ele contém, está a capacidade de baixar e executar cargas adicionais, coletar e enviar informações do sistema para o C2, encerrar processos e muito mais. Em julho de 2024, Latrodectus também foi observado sendo entregue por um texugo BRC4.
Durante as atividades de caça do Threat Labs, descobrimos uma nova versão da carga útil do Latrodectus, a versão 1.4. As atualizações de malware incluem uma abordagem diferente de desofuscação de strings, um novo endpoint C2, dois novos comandos de backdoor e muito mais.
Neste blog, vamos nos concentrar nos recursos adicionados/atualizados nesta nova versão.
Análise de arquivos JavaScript
A primeira carga útil da cadeia de infecção é um arquivo JavaScript ofuscado usando uma abordagem semelhante usada por outras campanhas da Latrodectus. A técnica de ofuscação é empregada adicionando vários comentários ao arquivo, dificultando a análise e aumentando consideravelmente o tamanho do arquivo.
O código relevante está presente entre os comentários inúteis e, uma vez removido do arquivo, podemos ver o código que seria executado.
O malware procura linhas que começam com a string “/////”, as coloca em um buffer e as executa como uma função JS. A função executada então baixa um arquivo MSI de um servidor remoto e o executa/instala.
Análise do arquivo MSI
Uma vez executado/instalado, o arquivo MSI usa a ferramenta rundll32.exe do Windows para carregar uma DLL chamada “nvidia.dll” e chama uma função chamada “AnselEnableCheck” exportada por essa DLL. A DLL maliciosa é armazenada dentro de um arquivo CAB chamado “disk1”, presente no próprio arquivo MSI: