البرامج الضارة Latrodectus

اكتشف محللو الأمن برنامجًا ضارًا جديدًا يُطلق عليه اسم Latrodectus، والذي تم نشره من خلال مساعي التصيد الاحتيالي عبر البريد الإلكتروني منذ أواخر نوفمبر 2023 على الأقل. ويبرز Latrodectus باعتباره أداة تنزيل ناشئة مجهزة بقدرات متنوعة للتهرب من وضع الحماية، ومصممة بدقة لجلب الحمولات وتنفيذ أوامر عشوائية.

هناك دلائل تشير إلى أن منشئي البرنامج الضار IcedID سيئ السمعة هم على الأرجح وراء تطوير Latrodectus. يتم استخدام أداة التنزيل هذه بواسطة وسطاء الوصول الأولي (IABs) لتبسيط عملية نشر البرامج الضارة الأخرى.

يرتبط Latrodectus في الغالب باثنين من IABs المتميزين، اللذين تم تحديدهما باسم TA577 (المعروف أيضًا باسم Water Curupira) وTA578. تجدر الإشارة إلى أن TA577 متورط في نشر QakBot و PikaBot أيضًا.

قد يحل Latrodectus محل تهديدات البرامج الضارة القديمة

بحلول منتصف يناير 2024، تم استخدام Latrodectus في الغالب بواسطة TA578 في حملات التهديد القائمة على البريد الإلكتروني، والتي غالبًا ما يتم نشرها من خلال إصابات DanaBot . ارتبط TA578، وهو ممثل معروف منذ مايو 2020 على الأقل، بحملات بريد إلكتروني مختلفة لتوزيع Ursnif و IcedID و KPOT Stealer و Buer Loader وBazaLoader و Cobalt Strike و Bumblebee .

تتضمن تسلسلات الهجوم استغلال نماذج الاتصال بموقع الويب لإرسال تهديدات قانونية تتعلق بانتهاكات حقوق الطبع والنشر المزعومة إلى المنظمات المستهدفة. تعمل الروابط المضمنة في هذه الرسائل على إعادة توجيه المستلمين إلى مواقع الويب الخادعة، مما يدفعهم إلى تنزيل ملف JavaScript مسؤول عن بدء الحمولة الأساسية عبر msiexec.

يقوم Latrodectus بتشفير بيانات النظام وإعادة توجيهها إلى خادم الأوامر والتحكم (C2)، لبدء طلب تنزيل الروبوت. بمجرد أن ينشئ الروبوت اتصالاً مع C2، فإنه يشرع في طلب الأوامر منه.

قد تنفذ البرامج الضارة Latrodectus العديد من الأوامر الغازية

تمتلك البرامج الضارة القدرة على اكتشاف البيئات المعزولة من خلال التحقق من وجود عنوان MAC صالح وما لا يقل عن 75 عملية قيد التشغيل على الأنظمة التي تعمل بنظام التشغيل Windows 10 أو الأحدث.

على غرار IcedID، تمت برمجة Latrodectus لإرسال تفاصيل التسجيل عبر طلب POST إلى خادم C2، حيث يتم ربط الحقول في معلمات HTTP وتشفيرها. وبعد ذلك، ينتظر المزيد من التعليمات من الخادم. تعمل هذه الأوامر على تمكين البرامج الضارة من تعداد الملفات والعمليات، وتنفيذ الثنائيات وملفات DLL، وإصدار توجيهات عشوائية عبر cmd.exe، وتحديث الروبوت، وحتى إنهاء العمليات قيد التشغيل.

يكشف المزيد من التدقيق في البنية التحتية للمهاجم أن خوادم C2 الأولية أصبحت جاهزة للعمل في 18 سبتمبر 2023. وتم تكوين هذه الخوادم للتفاعل مع خادم من المستوى 2 تم إنشاؤه في أغسطس 2023 تقريبًا.

يتضح الارتباط بين Latrodectus وIcedID من اتصالات خادم T2 مع البنية التحتية الخلفية المرتبطة بـ IcedID، إلى جانب استخدام مربعات الانتقال المرتبطة سابقًا بعمليات IcedID.

ويتوقع الباحثون زيادة كبيرة في استخدام Latrodectus من قبل جهات التهديد ذات الدوافع المالية في المجال الإجرامي، وخاصة أولئك الذين سبق لهم نشر IcedID.