Latrodectus Malware

Bezpečnostní analytici odhalili nový malware nazvaný Latrodectus, který byl šířen prostřednictvím e-mailových phishingových snah přinejmenším od konce listopadu 2023. Latrodectus vyniká jako nově vznikající stahovací program vybavený různými schopnostmi vyhýbat se sandboxu, pečlivě vytvořeným k načítání dat a provádění libovolných příkazů.

Existují náznaky, že za vývojem Latrodectus pravděpodobně stojí tvůrci notoricky známého malwaru IcedID . Tento downloader využívají brokeři pro počáteční přístup (IAB) k zefektivnění nasazení dalšího škodlivého softwaru.

Latrodectus je převážně spojen se dvěma odlišnými IAB, identifikovanými jako TA577 (také známý jako Water Curupira) a TA578. Je třeba poznamenat, že TA577 se také podílel na šíření QakBot a PikaBot .

Latrodectus může překonat starší hrozby malwaru

V polovině ledna 2024 byl Latrodectus využíván převážně TA578 v e-mailových kampaních proti hrozbám, často šířených prostřednictvím infekcí DanaBot . TA578, známý herec minimálně od května 2020, je spojován s různými e-mailovými kampaněmi distribuujícími Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike a Bumblebee .

Sekvence útoků zahrnují využívání kontaktních formulářů webových stránek k zasílání právních hrozeb ohledně údajného porušování autorských práv na cílové organizace. Vložené odkazy v těchto zprávách přesměrovávají příjemce na klamavé webové stránky a vyzývají je ke stažení souboru JavaScriptu odpovědného za spuštění primárního užitečného zatížení prostřednictvím msiexec.

Latrodectus zašifruje systémová data a předá je serveru Command-and-Control (C2), čímž spustí požadavek na stažení robota. Jakmile bot naváže kontakt s C2, začne od něj vyžadovat příkazy.

Malware Latrodectus může provádět četné invazivní příkazy

Malware má schopnost detekovat izolovaná prostředí ověřením přítomnosti platné MAC adresy a minimálně 75 spuštěných procesů na systémech se systémem Windows 10 nebo novějším.

Podobně jako IcedID je Latrodectus naprogramován k přenosu registračních údajů prostřednictvím požadavku POST na server C2, kde jsou pole zřetězena do parametrů HTTP a zašifrována. Následně čeká na další pokyny ze serveru. Tyto příkazy umožňují malwaru vyjmenovávat soubory a procesy, spouštět binární soubory a soubory DLL, vydávat libovolné příkazy prostřednictvím cmd.exe, aktualizovat robota a dokonce ukončit běžící procesy.

Další prozkoumání infrastruktury útočníka ukazuje, že první servery C2 byly zprovozněny 18. září 2023. Tyto servery jsou nakonfigurovány tak, aby spolupracovaly s upstream serverem Tier 2 zřízeným kolem srpna 2023.

Spojení mezi Latrodectus a IcedID je zřejmé ze spojení serveru T2 s backendovou infrastrukturou propojenou s IcedID, spolu s využitím skokových boxů dříve spojených s operacemi IcedID.

Výzkumníci očekávají prudký nárůst používání Latrodectus ze strany finančně motivovaných aktérů hrozeb v kriminální sféře, zejména těch, kteří již dříve šířili IcedID.