I recenti sviluppi nel panorama della cybersecurity hanno riportato alla ribalta due famiglie di malware, Bumblebee e Latrodectus, che stanno utilizzando strategie di phishing sofisticate per colpire le loro vittime. Questi malware, noti per la loro capacità di rubare dati personali e di eseguire ulteriori carichi malevoli su host compromessi, stanno riemergendo dopo essere stati colpiti da un'operazione di polizia coordinata chiamata Endgame.

Latrodectus

Latrodectus, anche conosciuto con i nomi BlackWidow, IceNova, e Lotus, è considerato un successore di IcedID, grazie alle somiglianze infrastrutturali tra i due. È stato implicato in campagne associate a broker di accesso iniziale come TA577 e TA578. Nonostante non sia stato specificamente menzionato nell'operazione Endgame, Latrodectus ha subito una pausa temporanea dovuta alla disattivazione della sua infrastruttura. Tuttavia, grazie alle sue capacità avanzate, ha rapidamente riguadagnato terreno, posizionandosi come una minaccia significativa nel panorama attuale.

Le campagne di attacco di Latrodectus si basano su campagne di malspam che sfruttano conversazioni email compromesse, impersonando entità legittime come Microsoft Azure e Google Cloud. Questo approccio permette ai cybercriminali di ingannare le vittime e attivare il processo di distribuzione del malware. Recentemente, è stata osservata una sequenza di infezione che utilizza email a tema DocuSign, contenenti allegati PDF con link malevoli o file HTML con codice JavaScript incorporato, progettati per scaricare un installer MSI e uno script PowerShell.

Bumblebee

Parallelamente, il loader Bumblebee sta facendo uso di archivi ZIP scaricati tramite email di phishing come meccanismo di distribuzione. L'archivio ZIP contiene un file LNK che, una volta eseguito, avvia una serie di eventi per scaricare ed eseguire il payload finale di Bumblebee in memoria, evitando di scrivere il DLL su disco. Questa tecnica, oltre a utilizzare file MSI camuffati da installer di aziende come NVIDIA, permette una distribuzione stealth del malware.

Questi sviluppi sottolineano l'importanza di un approccio proattivo alla cybersecurity, con un monitoraggio costante delle minacce e l'adozione di misure preventive. Le organizzazioni devono essere vigili e pronte a rispondere rapidamente a queste minacce in evoluzione per proteggere i loro dati e le loro infrastrutture critiche.