latrodectus-campaigns-2024

# Latrodectus Campaigns 2024 > [!info] Visão Geral > As **campanhas Latrodectus de 2024** marcam a transicao dos IABs (Initial Access Brokers) [[g1037-ta577]] e [[g1038-ta578]] do [[s0483-icedid]] para um novo loader avancado: [[s1160-latrodectus]]. Identificado pela primeira vez em novembro de 2023 e relacionado aos mesmos desenvolvedores do IcedID, o Latrodectus rapidamente tornou-se um dos loaders mais usados em campanhas de acesso inicial. As campanhas usam lures de violação de direitos autorais em formularios de contato (uma técnica signature do TA578) e phishing DocuSign como vetores principais, afetando setores financeiro, automotivo e de saúde. ## Visão Geral As campanhas Latrodectus de 2024 marcam uma transição significativa no ecossistema de Initial Access Brokers (IABs): os grupos [[g1037-ta577]] e [[g1038-ta578]], historicamente associados ao [[s0483-icedid]] como loader primário, migraram para um novo malware chamado [[s1160-latrodectus]], identificado pela primeira vez em novembro de 2023. A análise de código e infraestrutura indica que o Latrodectus foi desenvolvido pelos mesmos criadores do IcedID, representando não uma substituição de grupo mas uma evolução de ferramenta — possívelmente motivada pelo desmonte de botnets IcedID em operações de law enforcement anteriores. O vetor de entrega mais característico das campanhas TA578 é o lure de "violação de direitos autorais": a vítima recebe um email aparentemente legítimo de um formulário de contato de site, alegando que a empresa está usando ilegalmente imagens protegidas por copyright. O email inclui um link para "ver as evidências" — que redireciona para uma landing page com JavaScript malicioso que baixa um instalador MSI ou arquivo JS contendo o [[s1160-latrodectus]]. A técnica é eficaz porque chega pelo formulário de contato legítimo da empresa, contornando filtros de spam que verificam o remetente. O TA577 prefere lures DocuSign com temas contratuais. O objetivo dos IABs é vender o acesso comprometido a operadores de ransomware: o Latrodectus serve como loader de primeiro estágio que estabelece persistência, realiza reconhecimento básico e aguarda instruções para entregar payloads finais — tipicamente Cobalt Strike ou ransomware de grupos afiliados. Para o [[financial|setor financeiro]] brasileiro, onde as campanhas de IAB frequentemente precedem ataques de ransomware a empresas de médio porte, monitorar padrões de acesso incomum pós-instalação de software legítimo (como o que o Latrodectus finge ser) e detectar o tráfego C2 característico são controles preventivos essenciais. ## Attack Flow ```mermaid graph TB A["📧 Lure de Violação Copyright Email via formulario de contato alegando uso ilegal de imagem"] --> B["🔗 Link para PDF Falso Redireciona para landing page com JavaScript malicioso"] B --> C["📄 Download de MSI/JS Arquivo disfarçado de documento legal ou DocuSign"] C --> D["🕷️ Latrodectus Loader Execução com evasão de sandbox e anti-debug"] D --> E["📡 C2 Commúnication HTTP POST para infraestrutura de IAB TA577/TA578"] E --> F["💣 Payload Final Ransomware, Cobalt Strike ou outro malware IAB"] F --> G["📤 Entrega de Acesso IAB vende acesso a operadores de ransomware"] ``` **Legenda:** [[g1037-ta577]] e [[g1038-ta578]] usam [[s1160-latrodectus]] como loader de acesso inicial. O acesso comprometido e vendido a operadores de ransomware. A [[operation-endgame-2024]] interrompeu temporariamente as operações em maio 2024. ## Cronologia | Data | Evento | |------|--------| | Nov 2023 | Primeiras amostras Latrodectus identificadas por Elastic Security | | Ján 2024 | Proofpoint e Team Cymru públicam análise técnica completa | | Fev 2024 | TA577 e TA578 confirmados como operadores principais | | Mar 2024 | Campainha de copyright lures em formularios de contato identificada | | Mai 2024 | Operation Endgame afeta infraestrutura do Latrodectus temporariamente | | Jun 2024 | Latrodectus resurge com infraestrutura renovada - nova versao 1.3 | | Ago 2024 | Uso de DocuSign phishing como novo vetor identificado | | Ján 2025 | Latrodectus continua ativo - Storm-0249 (Microsoft) adota ClickFix | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | Link de Phishing | [[t1566-002-spearphishing-link\|T1566.002]] | Emails com links para download de payload via formulario de contato | | Arquivo/Link Malicioso | [[t1204-001-malicious-link\|T1204.001]] | Usuario clica em link para download do loader | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | CMD usado para execução de payloads intermediarios | | Arquivos Ofuscados | [[t1027-obfuscated-files-or-information\|T1027]] | Latrodectus com ofuscacao pesada e criptografia de strings | | Evasão de Sandbox | [[t1497-virtualization-sandbox-evasion\|T1497]] | Verificação de número de processos, resolução de tela, hardware | | Protocolo Web para C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP POST para infraestrutura de comando e controle | ## Vitimas Documentadas - **Setor financeiro dos EUA**: bancos, processadoras de pagamento e seguradoras - **Setor automotivo**: concessionarias e fabricantes americanas - **Healthcare**: hospitais e redes de saúde (pré-ransomware) - **Empresas Fortune 500**: foco em alvos de alto valor para revenda de acesso IAB **Nota**: O Latrodectus e um loader - as vitimas finais variam conforme o operador de ransomware que compra o acesso. ## Relevância para LATAM e Brasil 1. **Modelo IAB afeta o mundo inteiro**: [[g1037-ta577]] e [[g1038-ta578]] vendem acesso a operadores como [[lockbit]] e grupos de ransomware que operam no Brasil - o Latrodectus pode ser o ponto de entrada para ataques em empresas brasileiras 2. **Técnica de formulario de contato**: Empresas brasileiras com formularios de contato no site sao potenciais vetores para os lures de copyright do TA578 3. **Transicao pos-Endgame**: A [[operation-endgame-2024]] derrubou IcedID em 2024 - a migracao para Latrodectus mostra a resiliencia do ecossistema IAB que afeta o Brasil 4. **DocuSign phishing**: Uso crescente de DocuSign como lure também observado em campanhas contra empresas brasileiras em 2024 ```mermaid graph TB subgraph "Modelo IAB Latrodectus" A["TA577 / TA578 Initial Access Brokers"] --> B["Latrodectus Loader de Acesso"] B --> C["Acesso Comprometido Vendido no underground"] C --> D["Ransomware Groups Compram acesso"] end subgraph "Impacto Global / Brasil" D --> E["LockBit, BlackCat Operadores no Brasil"] E --> F["Ataques a empresas e governo brasileiro"] end ``` ## Mitigação - **Email Gateway com análise de URLs**: Bloquear links em emails de formularios de contato apontando para dominos suspeitos - [[m1021-restrict-web-based-content|M1021]] - **Bloquear execução de MSI nao-assinados**: Politica de AppLocker/WDAC para bloquear instaladores nao-corporativos - [[m1038-execution-prevention|M1038]] - **EDR com detecção comportamental**: Monitorar caracteristicas de evasão de sandbox (verificação de processos, resolução de tela) tipicas do Latrodectus - **Monitorar conexoes HTTP POST suspeitas**: IOCs de infraestrutura conhecida do Latrodectus em threat feeds - **Treinamento sobre DocuSign phishing**: Verificar sempre o dominio remetente de emails DocuSign - [[m1017-user-training|M1017]] - **Acompanhar Operation Endgame**: Monitorar EUROPOL para novas acoes contra infraestrutura IAB ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-connects-icedid) Proofpoint - Latrodectus: Spider Connects to IcedID (2024) - [2](https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus) Elastic Security Labs - Spring Cleaning with Latrodectus (2024) - [3](https://www.thecyberwire.com/stories/latrodectus-iab-loader) The Cyber Wire - Latrodectus IAB Loader Analysis (2024) - [4](https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem) Europol - Operation Endgame: Largest Botnet Takedown (2024) - [5](https://www.microsoft.com/en-us/security/blog/2025/03/storm-0249-clickfix/) Microsoft Security - Storm-0249 Switches to ClickFix for Latrodectus (2025)