Dua kelompok malware yang mengalami kemunduran setelah operasi penegakan hukum terkoordinasi yang disebut Endgame telah muncul kembali sebagai bagian dari kampanye phishing baru.
Bumblebee dan Latrodectus, keduanya merupakan pemuat malware, dirancang untuk mencuri data pribadi, serta mengunduh dan mengeksekusi muatan tambahan ke host yang disusupi.
Dilacak dengan nama BlackWidow, IceNova, Lotus, atau Unidentified 111, Latrodectus, juga dianggap sebagai penerus IcedID karena infrastruktur yang tumpang tindih antara kedua keluarga malware tersebut. Ini telah digunakan dalam kampanye yang terkait dengan dua broker akses awal (IAB) yang dikenal sebagai TA577 (alias Water Curupira) dan TA578.
Pada bulan Mei 2024, koalisi negara-negara Eropa mengatakan mereka membongkar lebih dari 100 server yang terkait dengan beberapa jenis malware seperti IcedID (dan, lebih jauh lagi, Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee, dan TrickBot.
“Meskipun Latrodectus tidak disebutkan dalam operasi tersebut, namun ia juga terkena dampaknya dan infrastrukturnya menjadi offline,” peneliti keamanan Bitsight João Batista mencatat pada bulan Juni 2024.
Perusahaan keamanan siber Trustwave, dalam analisis yang diterbitkan awal bulan ini, menggambarkan Latrodectus sebagai “ancaman nyata” yang semakin meningkat setelah Operasi Endgame.
“Meski awalnya terkena dampak, Latrodectus dengan cepat bangkit kembali. Kemampuan canggihnya mengisi kekosongan yang ditinggalkan oleh rekan-rekan penyandang disabilitas, menjadikan dirinya sebagai ancaman yang tangguh,” kata perusahaan keamanan siber tersebut.
Rantai serangan biasanya memanfaatkan kampanye malspam, mengeksploitasi rangkaian email yang dibajak, dan meniru entitas sah seperti Microsoft Azure dan Google Cloud untuk mengaktifkan proses penyebaran malware.
Urutan infeksi yang baru diamati oleh Forcepoint dan Logpoint mengambil rute yang sama, dengan pesan email bertema DocuSign yang berisi lampiran PDF yang berisi tautan berbahaya atau file HTML dengan kode JavaScript tertanam yang masing-masing dirancang untuk mengunduh penginstal MSI dan skrip PowerShell.
Terlepas dari metode yang digunakan, serangan tersebut berpuncak pada penyebaran file DLL berbahaya yang, pada gilirannya, meluncurkan malware Latrodectus.
“Latrodectus memanfaatkan infrastruktur lama, dikombinasikan dengan metode distribusi muatan malware baru yang inovatif ke sektor keuangan, otomotif, dan bisnis,” kata peneliti Forcepoint Mayur Sewani.
Kampanye Latrodectus yang sedang berlangsung sejalan dengan kembalinya pemuat Bumblebee, yang menggunakan file arsip ZIP yang kemungkinan diunduh melalui email phishing sebagai mekanisme pengiriman.
“File ZIP berisi file LNK bernama 'Report-41952.lnk' yang, setelah dijalankan, memulai rangkaian peristiwa untuk mengunduh dan mengeksekusi muatan akhir Bumblebee di memori, sehingga menghindari kebutuhan untuk menulis DLL pada disk,” peneliti Netskope kata Leandro Fróes.
File LNK dimaksudkan untuk menjalankan perintah PowerShell untuk mengunduh penginstal MSI dari server jarak jauh. Setelah diluncurkan, sampel MSI, yang menyamar sebagai penginstal dari NVIDIA dan Midjourney, berfungsi sebagai saluran untuk meluncurkan Bumblebee DLL.
“Bumblebee menggunakan pendekatan yang lebih tersembunyi untuk menghindari pembuatan proses lain dan menghindari penulisan muatan akhir ke disk,” Fróes menunjukkan.
“Ia melakukannya dengan menggunakan tabel SelfReg untuk memaksa eksekusi fungsi ekspor DllRegisterServer yang ada dalam file di tabel File. Entri dalam tabel SelfReg berfungsi sebagai kunci untuk menunjukkan file apa yang akan dieksekusi di tabel File dan di tabel File kami. kalau-kalau itu adalah payload DLL terakhir.”
