# Latrodectus > Tipo: **loader / downloader** - S1160 - [MITRE ATT&CK](https://attack.mitre.org/software/S1160) > [!warning] Herdeiro do IcedID com Infraestrutura Compartilhada > Latrodectus compartilha infraestrutura com operações historicas do [[s0483-icedid|IcedID]], sugerindo que os mesmos atores desenvolveram este novo loader após o declinio do IcedID. Com adopao rapida pelo [[g1037-ta577|TA577]] e [[g1038-ta578|TA578]], o Latrodectus tornou-se um dos loaders mais ativos de 2024, distribuindo Cobalt Strike e ransomware em campanhas globais. ## Visão Geral [[s1160-latrodectus|Latrodectus]] e um downloader de malware para Windows ativo desde pelo menos 2023, descoberto e nomeado pelos pesquisadores da Proofpoint e Team Cymru em fevereiro de 2024. O nome "Latrodectus" vem do genero cientifico da aranha viuva-negra, refletindo a natureza furtiva e perigosa do malware. A caracteristica mais significativa do Latrodectus e seu **sobreposicao de infraestrutura com o IcedID** - um downloader que foi por anos um dos mais prolificos da cibercriminalidade. Pesquisadores identificaram que o Latrodectus usa os mesmos servidores de distribuição, padroes de registro de dominio e outros indicadores de infraestrutura do IcedID, sugerindo fortemente que os operadores do IcedID desenvolveram o Latrodectus como substituto ou evolução. Técnicamente, o Latrodectus e entregue como **DLL via rundll32** ([[t1218-011-rundll32|T1218.011]]) e usa **servicos web legitimos** ([[t1102-web-service|T1102]]) como parte de sua cadeia de distribuição. A comunicação C2 e protegida com codificacao Base64 ([[t1132-001-standard-encoding|T1132.001]]) e o malware usa **resolvimento dinâmico de API** ([[t1027-007-dynamic-api-resolution|T1027.007]]) para dificultar análise estática. **Plataformas:** Windows ## Como Funciona O Latrodectus utiliza uma cadeia de infecção que explora técnicas de LOLBins (Living-Off-the-Land Binaries) para execução furtiva: 1. **Entrega:** Phishing com anexo PDF/HTML ([[t1566-001-spearphishing-attachment|T1566.001]]) ou link malicioso ([[t1204-001-malicious-link|T1204.001]]) distribuido via TA577 e TA578 em campanhas de email 2. **Execução via LOLBins:** DLL carregada via `rundll32.exe` ([[t1218-011-rundll32|T1218.011]]) ou `msiexec.exe` ([[t1218-007-msiexec|T1218.007]]) para evasão de controles de execução 3. **Resolvimento dinâmico:** Resolve enderecos de API em tempo de execução ([[t1027-007-dynamic-api-resolution|T1027.007]]) para dificultar análise e deter assinaturas estáticas 4. **Deofuscacao:** Decodifica strings e configuracoes internas ([[t1140-deobfuscatedecode-files-or-information|T1140]]) 5. **Reconhecimento:** Enumera processos ([[t1057-process-discovery|T1057]]), compartilhamentos de rede ([[t1135-network-share-discovery|T1135]]), usuario ([[t1033-system-owneruser-discovery|T1033]]) e configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) 6. **Persistência:** Cria tarefa agendada ([[t1053-005-scheduled-task|T1053.005]]) para execução periodica 7. **C2 via web service:** Usa servicos web legitimos ([[t1102-web-service|T1102]]) e codificacao Base64 para comunicação furtiva 8. **Entrega de payload:** Baixa e executa [[s0154-cobalt-strike|Cobalt Strike]], ransomware ou outros implantes conforme instrução do operador ```mermaid graph TB A["Email Phishing<br/>TA577 / TA578"] --> B["PDF / HTML / Anexo<br/>T1566.001 / T1204.001"] B --> C["rundll32 / msiexec<br/>T1218.011 / T1218.007 LOLBins"] C --> D["Resolvimento dinâmico API<br/>T1027.007 - Anti-análise"] D --> E["Deofuscacao<br/>T1140 - Strings e config"] E --> F["Reconhecimento<br/>T1057 + T1135 + T1033"] F --> G["Tarefa Agendada<br/>T1053.005 - Persistência"] G --> H["C2 via web service<br/>T1102 + Base64 T1132.001"] H --> I["Download payload<br/>Cobalt Strike / Ransomware"] I --> J["Execução final<br/>Pos-comprometimento"] ``` ## Timeline de Eventos ```mermaid timeline title Latrodectus - Surgimento e Expansao 2023 : Primeiras amostras identificadas : Sobreposicao com infraestrutura IcedID detectada 2024-fev : Proofpoint e Team Cymru publicam pesquisa : Nomeado oficialmente "Latrodectus" 2024-mar : TA577 e TA578 adotam Latrodectus em escala : Substituicao gradual do IcedID e Pikabot 2024-mai : Operação Endgame - Europa e EUA (maio 2024) : Takedown parcial mas Latrodectus sobrevive 2024 : Expansion de campanha com novos vetores : Distribuição de Cobalt Strike confirmada 2025 : Continua ativo como principal loader do TA577 ``` ## Técnicas Utilizadas | Técnica | Descrição | |---------|-----------| | [[t1102-web-service\|T1102]] | Usa servicos web legitimos no canal C2 | | [[t1218-011-rundll32\|T1218.011]] | Execução de DLL via rundll32.exe (LOLBin) | | [[t1132-001-standard-encoding\|T1132.001]] | Comúnicação C2 codificada em Base64 | | [[t1059-003-windows-command-shell\|T1059.003]] | Executa comandos via cmd.exe | | [[t1016-system-network-configuration-discovery\|T1016]] | Enumera interfaces de rede e configuração | | [[t1218-007-msiexec\|T1218.007]] | Alternativa de execução via msiexec.exe | | [[t1135-network-share-discovery\|T1135]] | Mapeia compartilhamentos SMB na rede | | [[t1057-process-discovery\|T1057]] | Enumera processos em execução | | [[t1033-system-owneruser-discovery\|T1033]] | Identifica usuario e dominio do sistema | | [[t1053-005-scheduled-task\|T1053.005]] | Cria tarefa agendada para persistência | | [[t1204-001-malicious-link\|T1204.001]] | Link malicioso como vetor de entrega | | [[t1027-007-dynamic-api-resolution\|T1027.007]] | Resolve enderecos de API em runtime | | [[t1005-data-from-local-system\|T1005]] | Coleta dados locais para reconhecimento | | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexo como vetor principal | | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Deofusca configuração e strings internas | ## Grupos que Usam - [[g1037-ta577|TA577]] - grupo cibercriminoso, usuario principal em campanhas de malspam de alto volume - [[g1038-ta578|TA578]] - grupo cibercriminoso associado, distribuição em campanhas complementares ## Impacto no Brasil e LATAM O Latrodectus opera via campanhas de email em escala global, e a LATAM nao tem imunidade a suas cadeias de ataque. O uso pelo [[g1037-ta577|TA577]] - o mesmo grupo que operou o QakBot e distribuiu o [[pikabot|Pikabot]] - em campanhas de alto volume significa que organizacoes brasileiras estao regularmente na lista de alvos dessas distribuicoes. A relacao do Latrodectus com o historico operacional do [[s0483-icedid|IcedID]] e relevante para o Brasil: o IcedID foi detectado em campanhas contra organizacoes financeiras brasileiras em 2022-2023. Com o Latrodectus herdando a infraestrutura e possívelmente os operadores do IcedID, a mesma base de ameaça permanece ativa em nova embalagem. O uso do Latrodectus como precursor de [[s0154-cobalt-strike|Cobalt Strike]] e ransomware significa que qualquer detecção desta familia em rede corporativa brasileira deve acionar resposta de incidente de nivel critico. ## Detecção - Monitorar execução de `rundll32.exe` e `msiexec.exe` com argumentos incomuns ou por processos pai suspeitos - Alertar para criação de tarefa agendada por processos Office ou navegadores - Detectar comunicação HTTP com User-Agent incomum e payload codificado em Base64 - Implementar DNS RPZ (Response Policy Zone) com feeds de ameaça para bloquear dominios C2 conhecidos - Monitorar enumeracao de compartilhamentos SMB por processos nao-administrativos - Regras de detecção: consultar [[m1038-execution-prevention|M1038 - Prevenção de Execução]] e [[m1042-disable-or-remove-feature-or-program|M1042 - Desabilitar Funcionalidade]] ## Referências - [MITRE ATT&CK - S1160](https://attack.mitre.org/software/S1160) - [Proofpoint - Latrodectus: a new loader](https://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice) - [Team Cymru - Latrodectus Infrastructure Analysis](https://team-cymru.com/blog/2024/02/14/from-icedid-to-latrodectus-malware-analysis/) - [Elastic Security Labs - Latrodectus](https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus) - [CISA - Latrodectus Downloader Profile](https://www.cisa.gov/news-events/cybersecurity-advisories)