Κακόβουλο λογισμικό Latrodectus

Αναλυτές ασφαλείας ανακάλυψαν ένα νέο κακόβουλο λογισμικό με το όνομα Latrodectus, το οποίο κυκλοφορεί μέσω προσπαθειών ηλεκτρονικού "ψαρέματος" τουλάχιστον από τα τέλη Νοεμβρίου 2023. Το Latrodectus ξεχωρίζει ως ένα αναδυόμενο πρόγραμμα λήψης εξοπλισμένο με διάφορες δυνατότητες διαφυγής sandbox, σχολαστικά σχεδιασμένο για να εκτελεί αυθαίρετα φορτία και εντολές.

Υπάρχουν ενδείξεις που υπονοούν ότι οι δημιουργοί του περιβόητου κακόβουλου λογισμικού IcedID βρίσκονται πιθανότατα πίσω από την ανάπτυξη του Latrodectus. Αυτό το πρόγραμμα λήψης χρησιμοποιείται από μεσίτες αρχικής πρόσβασης (IABs) για τη βελτιστοποίηση της ανάπτυξης άλλου κακόβουλου λογισμικού.

Το Latrodectus συνδέεται κυρίως με δύο ξεχωριστά IAB, που προσδιορίζονται ως TA577 (επίσης γνωστό ως Water Curupira) και TA578. Αξίζει να σημειωθεί ότι το TA577 έχει εμπλακεί στη διάδοση του QakBot και του PikaBot επίσης.

Το Latrodectus μπορεί να ξεπεράσει παλαιότερες απειλές κακόβουλου λογισμικού

Μέχρι τα μέσα Ιανουαρίου 2024, το Latrodectus έχει χρησιμοποιηθεί κυρίως από το TA578 σε εκστρατείες απειλών που βασίζονται σε email, που συχνά διαδίδονται μέσω μολύνσεων από το DanaBot . Ο TA578, γνωστός ηθοποιός τουλάχιστον από τον Μάιο του 2020, έχει συσχετιστεί με διάφορες καμπάνιες ηλεκτρονικού ταχυδρομείου που διανέμουν τα Ursnif , IcedID , KPOT Stealer , Buer Loader , BazaLoader , Cobalt Strike και Bumblebee .

Οι ακολουθίες επίθεσης περιλαμβάνουν την εκμετάλλευση φορμών επικοινωνίας ιστότοπου για την αποστολή νομικών απειλών σχετικά με υποτιθέμενες παραβιάσεις πνευματικών δικαιωμάτων σε στοχευμένους οργανισμούς. Οι ενσωματωμένοι σύνδεσμοι σε αυτά τα μηνύματα ανακατευθύνουν τους παραλήπτες σε παραπλανητικούς ιστότοπους, προτρέποντάς τους να κατεβάσουν ένα αρχείο JavaScript που είναι υπεύθυνο για την εκκίνηση του κύριου ωφέλιμου φορτίου μέσω msiexec.

Το Latrodectus κρυπτογραφεί τα δεδομένα του συστήματος και τα προωθεί στον διακομιστή Command-and-Control (C2), ξεκινώντας ένα αίτημα για λήψη bot. Μόλις το bot δημιουργήσει επαφή με το C2, προχωρά στην αναζήτηση εντολών από αυτό.

Το κακόβουλο λογισμικό Latrodectus μπορεί να εκτελέσει πολυάριθμες επεμβατικές εντολές

Το κακόβουλο λογισμικό έχει τη δυνατότητα να ανιχνεύει περιβάλλοντα sandbox επαληθεύοντας την παρουσία μιας έγκυρης διεύθυνσης MAC και τουλάχιστον 75 διεργασιών που εκτελούνται σε συστήματα με Windows 10 ή νεότερη έκδοση.

Παρόμοια με το IcedID, το Latrodectus είναι προγραμματισμένο να μεταδίδει λεπτομέρειες εγγραφής μέσω αιτήματος POST στον διακομιστή C2, όπου τα πεδία συνδέονται σε παραμέτρους HTTP και κρυπτογραφούνται. Στη συνέχεια, αναμένει περαιτέρω οδηγίες από τον διακομιστή. Αυτές οι εντολές εξουσιοδοτούν το κακόβουλο λογισμικό να απαριθμεί αρχεία και διεργασίες, να εκτελεί δυαδικά αρχεία και αρχεία DLL, να εκδίδει αυθαίρετες οδηγίες μέσω του cmd.exe, να ενημερώνει το bot και ακόμη και να τερματίζει διεργασίες που εκτελούνται.

Περαιτέρω έλεγχος της υποδομής εισβολέα αποκαλύπτει ότι οι αρχικοί διακομιστές C2 άρχισαν να λειτουργούν στις 18 Σεπτεμβρίου 2023. Αυτοί οι διακομιστές έχουν ρυθμιστεί ώστε να αλληλεπιδρούν με έναν διακομιστή επιπέδου 2 που δημιουργήθηκε γύρω στον Αύγουστο του 2023.

Η συσχέτιση μεταξύ του Latrodectus και του IcedID είναι εμφανής από τις συνδέσεις του διακομιστή T2 με την υποδομή υποστήριξης συνδεδεμένη με το IcedID, μαζί με τη χρήση jump boxes που προηγουμένως συνδέονταν με λειτουργίες IcedID.

Οι ερευνητές αναμένουν αύξηση της χρήσης του Latrodectus από παράγοντες απειλών με οικονομικά κίνητρα στον εγκληματικό χώρο, ειδικά εκείνους που έχουν προηγουμένως διαδώσει το IcedID.