Latrodectus Malware

Biztonsági elemzők felfedeztek egy Latrodectus névre keresztelt új rosszindulatú programot, amelyet legalább 2023 novemberének vége óta terjesztettek e-mailes adathalász kísérletekkel. A Latrodectus egy feltörekvő letöltő, amely sokféle sandbox-elkerülési képességgel rendelkezik, és aprólékosan kidolgozott tetszőleges terhelések lekérésére és parancsok végrehajtására.

Vannak arra utaló jelek, hogy a hírhedt IcedID kártevő alkotói állhatnak a Latrodectus fejlesztése mögött. Ezt a letöltőt a kezdeti hozzáférés-közvetítők (IAB-k) alkalmazzák más rosszindulatú szoftverek telepítésének egyszerűsítésére.

A Latrodectus túlnyomórészt két különálló IAB-hoz kapcsolódik, ezek a TA577 (más néven Water Curupira) és TA578. Megjegyzendő, hogy a TA577 részt vett a QakBot és a PikaBot terjesztésében is.

A Latrodectus felülmúlhatja a régebbi rosszindulatú programokat

2024. január közepére a Latrodectust túlnyomórészt a TA578 használta e-mail-alapú fenyegetési kampányokban, amelyek gyakran DanaBot fertőzéseken keresztül terjedtek el. TA578, aki legalább 2020 májusa óta ismert színész, különféle e-mail kampányokkal áll kapcsolatban, amelyek az Ursnif , az IcedID , a KPOT Stealer, a Buer Loader , a BazaLoader, a Cobalt Strike és a Bumblebee termékeket terjesztik.

A támadássorozatok magukban foglalják a webhely kapcsolatfelvételi űrlapjait, hogy jogi fenyegetéseket küldjenek a megcélzott szervezeteknek a szerzői jogok feltételezett megsértésével kapcsolatban. Az üzenetekben található beágyazott hivatkozások megtévesztő webhelyekre irányítják át a címzetteket, és arra kérik őket, hogy töltsenek le egy JavaScript-fájlt, amely felelős az elsődleges hasznos adat msiexec-en keresztüli kezdeményezéséért.

A Latrodectus titkosítja a rendszeradatokat, és továbbítja azokat a Command-and-Control szervernek (C2), elindítva a bot letöltési kérelmét. Miután a bot felveszi a kapcsolatot a C2-vel, parancsokat kér tőle.

A Latrodectus malware számos invazív parancsot hajthat végre

A rosszindulatú program képes felismerni a sandbox-környezeteket az érvényes MAC-cím és legalább 75 futó folyamat meglétének ellenőrzésével a Windows 10 vagy újabb rendszert futtató rendszereken.

Az IcedID-hez hasonlóan a Latrodectus is úgy van programozva, hogy a regisztrációs adatokat POST-kéréssel továbbítsa a C2-szervernek, ahol a mezőket HTTP-paraméterekké fűzi össze és titkosítja. Ezt követően további utasításokat vár a szervertől. Ezek a parancsok felhatalmazzák a rosszindulatú szoftvert arra, hogy felsoroljon fájlokat és folyamatokat, bináris és DLL-fájlokat hajtson végre, tetszőleges direktívákat adjon ki a cmd.exe-n keresztül, frissítse a botot, és még a futó folyamatokat is leállítsa.

A támadó infrastruktúra további vizsgálata során kiderült, hogy a kezdeti C2-szerverek 2023. szeptember 18-án működtek. Ezek a szerverek úgy vannak beállítva, hogy együttműködjenek egy 2023 augusztusa körül létrehozott, upstream 2-es szintű szerverrel.

A Latrodectus és az IcedID közötti kapcsolat nyilvánvaló a T2-szervernek az IcedID-hez kapcsolódó háttér-infrastruktúrával való kapcsolataiból, valamint a korábban az IcedID-műveletekhez kötött ugródobozok használatából.

A kutatók arra számítanak, hogy a Latrodectus használatában megnövekszik a bűnözés pénzügyileg motivált szereplői, különösen azok, akik korábban terjesztették az IcedID-t.