Latrodectus תוכנה זדונית

אנליסטים של אבטחה חשפו תוכנה זדונית חדשה בשם Latrodectus, שהופצה באמצעות מאמצי דיוג בדוא"ל לפחות מאז סוף נובמבר 2023. Latrodectus בולט בתור הורדה מתפתח המצויד ביכולות שונות של התחמקות מארגזי חול, מעוצב בקפידה כדי להביא מטענים וביצוע פקודות קבילות.

ישנן אינדיקציות המרמזות כי יוצרי התוכנה הזדונית IcedID הידועה לשמצה עומדים כנראה מאחורי הפיתוח של Latrodectus. הורדה זו מועסקת על ידי מתווכים גישה ראשונית (IABs) כדי לייעל את הפריסה של תוכנות זדוניות אחרות.

Latrodectus קשור בעיקר לשני IABs נפרדים, המזוהים כ-TA577 (הידוע גם בשם Water Curupira) ו-TA578. יש לציין, TA577 היה מעורב גם בהפצת QakBot ו- PikaBot .

Latrodectus עשוי להתגבר על איומי תוכנה זדונית ישנים יותר

עד אמצע ינואר 2024, Latrodectus נוצל בעיקר על ידי TA578 בקמפיינים של איומים מבוססי דוא"ל, המופצים לעתים קרובות באמצעות זיהומים של DanaBot . TA578, שחקן ידוע לפחות מאז מאי 2020, נקשר בקמפיינים שונים באימייל שמפיצים את Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike ו- Bumblebee .

רצפי ההתקפה כוללים ניצול טפסי יצירת קשר עם אתרים כדי לשלוח איומים משפטיים בנוגע להפרות לכאורה של זכויות יוצרים לארגונים ממוקדים. קישורים מוטמעים בתוך הודעות אלה מפנים את הנמענים לאתרי אינטרנט מטעים, ומבקשים מהם להוריד קובץ JavaScript שאחראי להפעלת המטען הראשי באמצעות msiexec.

Latrodectus מצפין את נתוני המערכת ומעביר אותם לשרת Command-and-Control (C2), ויזום בקשה להורדת בוט. ברגע שהבוט יוצר קשר עם ה-C2, הוא ממשיך לבקש ממנו פקודות.

תוכנת Latrodectus Malware עשויה לבצע פקודות פולשניות רבות

לתוכנה הזדונית יש את היכולת לזהות סביבות עם ארגז חול על ידי אימות נוכחות של כתובת MAC חוקית ומינימום של 75 תהליכים פועלים במערכות הפועלות ב-Windows 10 ומעלה.

בדומה ל-IcedID, Latrodectus מתוכנת לשדר פרטי רישום באמצעות בקשת POST לשרת C2, שם השדות משורשרים לפרמטרי HTTP ומוצפנים. לאחר מכן, הוא ממתין להנחיות נוספות מהשרת. פקודות אלו מעצימות את התוכנה הזדונית למנות קבצים ותהליכים, להפעיל קבצי בינאריים וקבצי DLL, להנפיק הנחיות שרירותיות באמצעות cmd.exe, לעדכן את הבוט ואפילו לסיים תהליכים רצים.

בדיקה נוספת של תשתית התוקפים מגלה ששרתי C2 הראשוניים הפכו לפעולה ב-18 בספטמבר 2023. שרתים אלו מוגדרים לאינטראקציה עם שרת שכבה 2 במעלה הזרם שהוקם בסביבות אוגוסט 2023.

הקשר בין Latrodectus ל-IcedID ניכר מהחיבורים של שרת ה-T2 עם תשתית עורפית המקושרת ל-IcedID, יחד עם ניצול קופסאות ג'אמפ שנקשרו בעבר לפעולות IcedID.

חוקרים צופים עלייה בשימוש ב-Latrodectus על ידי גורמי איומים בעלי מוטיבציה כלכלית בתחום הפלילי, במיוחד אלה שהפיצו בעבר את IcedID.