Latrodectus Malware

सुरक्षा विश्लेषकों ने लैट्रोडेक्टस नामक एक नए मैलवेयर का पता लगाया है, जिसे कम से कम नवंबर 2023 के अंत से ईमेल फ़िशिंग प्रयासों के माध्यम से प्रसारित किया गया है। लैट्रोडेक्टस एक उभरते हुए डाउनलोडर के रूप में सामने आता है, जो विविध सैंडबॉक्स से बचने की क्षमताओं से लैस है, जिसे पेलोड लाने और मनमाने आदेशों को निष्पादित करने के लिए सावधानीपूर्वक तैयार किया गया है।

ऐसे संकेत हैं कि कुख्यात आइस्डआईडी मैलवेयर के निर्माता लैट्रोडेक्टस के विकास के पीछे हैं। इस डाउनलोडर का उपयोग प्रारंभिक एक्सेस ब्रोकर्स (IABs) द्वारा अन्य दुर्भावनापूर्ण सॉफ़्टवेयर की तैनाती को सरल बनाने के लिए किया जाता है।

लैट्रोडेक्टस मुख्य रूप से दो अलग-अलग IABs से जुड़ा हुआ है, जिन्हें TA577 (जिसे वाटर कुरुपिरा के नाम से भी जाना जाता है) और TA578 के रूप में पहचाना जाता है। ध्यान देने वाली बात यह है कि TA577 को QakBot और PikaBot के प्रसार में भी शामिल किया गया है।

Latrodectus पुराने मैलवेयर खतरों को पीछे छोड़ सकता है

जनवरी 2024 के मध्य तक, लैट्रोडेक्टस का उपयोग मुख्य रूप से TA578 द्वारा ईमेल-आधारित धमकी अभियानों में किया गया है, जिसे अक्सर DanaBot संक्रमणों के माध्यम से प्रसारित किया जाता है। TA578, कम से कम मई 2020 से एक ज्ञात अभिनेता, उर्सनिफ़ , आइस्डआईडी , केपीओटी स्टीलर, ब्यूर लोडर , बाज़ा लोडर, कोबाल्ट स्ट्राइक और बम्बलबी वितरित करने वाले विभिन्न ईमेल अभियानों से जुड़ा हुआ है।

हमले के क्रम में लक्षित संगठनों को कथित कॉपीराइट उल्लंघन के बारे में कानूनी धमकियाँ भेजने के लिए वेबसाइट संपर्क फ़ॉर्म का शोषण करना शामिल है। इन संदेशों में एम्बेडेड लिंक प्राप्तकर्ताओं को भ्रामक वेबसाइटों पर पुनर्निर्देशित करते हैं, जिससे उन्हें msiexec के माध्यम से प्राथमिक पेलोड आरंभ करने के लिए जिम्मेदार एक जावास्क्रिप्ट फ़ाइल डाउनलोड करने के लिए प्रेरित किया जाता है।

लैट्रोडेक्टस सिस्टम डेटा को एन्क्रिप्ट करता है और इसे कमांड-एंड-कंट्रोल सर्वर (C2) को भेजता है, जिससे बॉट डाउनलोड के लिए अनुरोध शुरू होता है। एक बार जब बॉट C2 से संपर्क स्थापित कर लेता है, तो वह उससे कमांड मांगना शुरू कर देता है।

लैट्रोडेक्टस मैलवेयर कई आक्रामक आदेशों को पूरा कर सकता है

मैलवेयर में विंडोज 10 या उसके नए संस्करण चलाने वाले सिस्टम पर वैध MAC एड्रेस और कम से कम 75 चल रही प्रक्रियाओं की उपस्थिति की पुष्टि करके सैंडबॉक्स्ड वातावरण का पता लगाने की क्षमता होती है।

आइस्डआईडी की तरह ही, लैट्रोडेक्टस को C2 सर्वर पर POST अनुरोध के माध्यम से पंजीकरण विवरण संचारित करने के लिए प्रोग्राम किया गया है, जहाँ फ़ील्ड को HTTP मापदंडों में संयोजित किया जाता है और एन्क्रिप्ट किया जाता है। इसके बाद, यह सर्वर से आगे के निर्देशों की प्रतीक्षा करता है। ये कमांड मैलवेयर को फ़ाइलों और प्रक्रियाओं की गणना करने, बाइनरी और DLL फ़ाइलों को निष्पादित करने, cmd.exe के माध्यम से मनमाने निर्देश जारी करने, बॉट को अपडेट करने और यहाँ तक कि चल रही प्रक्रियाओं को समाप्त करने की शक्ति प्रदान करते हैं।

हमलावर बुनियादी ढांचे की आगे की जांच से पता चलता है कि प्रारंभिक C2 सर्वर 18 सितंबर, 2023 को चालू हो गए थे। इन सर्वरों को अगस्त 2023 के आसपास स्थापित अपस्ट्रीम टियर 2 सर्वर के साथ बातचीत करने के लिए कॉन्फ़िगर किया गया है।

लैट्रोडेक्टस और आइस्डआईडी के बीच संबंध, आइस्डआईडी से जुड़े बैकएंड इंफ्रास्ट्रक्चर के साथ टी2 सर्वर के कनेक्शन से स्पष्ट है, साथ ही पहले से आइस्डआईडी संचालन से जुड़े जंप बॉक्स के उपयोग से भी स्पष्ट है।

शोधकर्ताओं को आशंका है कि आपराधिक क्षेत्र में वित्तीय रूप से प्रेरित खतरा पैदा करने वाले लोगों द्वारा लैट्रोडेक्टस के उपयोग में वृद्धि होगी, विशेष रूप से उन लोगों द्वारा जो पहले आइस्डआईडी का प्रसार कर चुके हैं।