بدافزار Latrodectus
تحلیلگران امنیتی بدافزار جدیدی به نام Latrodectus را کشف کردهاند که حداقل از اواخر نوامبر 2023 از طریق تلاشهای فیشینگ ایمیل منتشر شده است. Latrodectus به عنوان یک دانلودکننده نوظهور مجهز به قابلیتهای متنوع فرار از جعبه شنی، که به دقت برای اجرای بارهای دلخواه و دستورات دلخواه ساخته شده است، برجسته است.
نشانه هایی وجود دارد که نشان می دهد سازندگان بدافزار بدنام IcedID احتمالاً پشت توسعه Latrodectus هستند. این دانلود کننده توسط کارگزاران دسترسی اولیه (IABs) برای ساده کردن استقرار سایر نرم افزارهای مخرب استفاده می شود.
Latrodectus عمدتاً با دو IAB مجزا همراه است که به عنوان TA577 (همچنین به عنوان Water Curupira شناخته می شود) و TA578 شناسایی می شود. قابل توجه است که TA577 در انتشار QakBot و PikaBot نیز نقش داشته است.
Latrodectus ممکن است از تهدیدات بدافزارهای قدیمی غلبه کند
تا اواسط ژانویه 2024، Latrodectus عمدتاً توسط TA578 در کمپینهای تهدید مبتنی بر ایمیل، که اغلب از طریق عفونتهای DanaBot منتشر میشوند، استفاده شده است. TA578، یک بازیگر شناخته شده حداقل از ماه مه 2020، با کمپین های ایمیل مختلفی در توزیع Ursnif ، IcedID ، KPOT Stealer، Buer Loader ، BazaLoader، Cobalt Strike و Bumblebee مرتبط بوده است.
توالیهای حمله شامل استفاده از فرمهای تماس وبسایت برای ارسال تهدیدات قانونی در رابطه با نقض حق نسخهبرداری به سازمانهای هدف است. پیوندهای تعبیهشده در این پیامها، گیرندگان را به وبسایتهای فریبنده هدایت میکنند، و از آنها میخواهند یک فایل جاوا اسکریپت را که مسئول شروع بارگذاری اولیه از طریق msiexec است دانلود کنند.
Latrodectus داده های سیستم را رمزگذاری می کند و آنها را به سرور Command-and-Control (C2) ارسال می کند و درخواست دانلود ربات را آغاز می کند. هنگامی که ربات با C2 ارتباط برقرار می کند، دستورات را از آن درخواست می کند.
بدافزار Latrodectus ممکن است دستورات تهاجمی متعددی را انجام دهد
این بدافزار دارای قابلیت شناسایی محیط های جعبه ایمنی با تأیید وجود یک آدرس MAC معتبر و حداقل 75 فرآیند در حال اجرا در سیستم های دارای ویندوز 10 یا جدیدتر است.
مشابه IcedID، Latrodectus برنامه ریزی شده است تا جزئیات ثبت نام را از طریق یک درخواست POST به سرور C2 منتقل کند، جایی که فیلدها به پارامترهای HTTP متصل شده و رمزگذاری می شوند. متعاقباً، منتظر دستورالعمل های بیشتر از سرور است. این دستورات بدافزار را قادر میسازد تا فایلها و پردازشها را شمارش کند، فایلهای باینری و DLL را اجرا کند، دستورات دلخواه را از طریق cmd.exe صادر کند، ربات را بهروزرسانی کند و حتی فرآیندهای در حال اجرا را خاتمه دهد.
بررسی بیشتر زیرساخت مهاجم نشان می دهد که سرورهای اولیه C2 در 18 سپتامبر 2023 عملیاتی شدند. این سرورها برای تعامل با یک سرور سطح 2 بالادستی که در اوت 2023 ایجاد شده است پیکربندی شده اند.
ارتباط بین Latrodectus و IcedID از اتصالات سرور T2 با زیرساخت backend مرتبط با IcedID، همراه با استفاده از جعبههای پرش که قبلاً به عملیات IcedID مرتبط بودند، مشهود است.
محققان پیشبینی میکنند که استفاده از Latrodectus توسط عوامل تهدید کننده با انگیزه مالی در قلمرو جنایی، بهویژه کسانی که قبلا IcedID را منتشر کردهاند، افزایش یابد.