Malware Latrodectus

Gli analisti della sicurezza hanno scoperto un nuovo malware denominato Latrodectus, che è stato diffuso tramite tentativi di phishing via e-mail almeno dalla fine di novembre 2023. Latrodectus si distingue come un downloader emergente dotato di diverse capacità di evasione sandbox, meticolosamente realizzato per recuperare payload ed eseguire comandi arbitrari.

Ci sono indicazioni che dietro allo sviluppo di Latrodectus ci siano probabilmente i creatori del famigerato malware IcedID . Questo downloader viene utilizzato dai broker di accesso iniziale (IAB) per semplificare la distribuzione di altro software dannoso.

Latrodectus è prevalentemente associato a due IAB distinti, identificati come TA577 (noto anche come Water Curupira) e TA578. Da notare che TA577 è stato implicato anche nella diffusione di QakBot e PikaBot .

Latrodectus potrebbe sostituire le minacce malware più vecchie

Entro la metà di gennaio 2024, Latrodectus è stato utilizzato prevalentemente da TA578 in campagne di minaccia basate su e-mail, spesso diffuse tramite infezioni DanaBot . TA578, un attore noto almeno da maggio 2020, è stato associato a varie campagne e-mail che distribuiscono Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike e Bumblebee .

Le sequenze di attacco prevedono lo sfruttamento dei moduli di contatto del sito Web per inviare minacce legali relative a presunte violazioni del copyright alle organizzazioni prese di mira. I collegamenti incorporati all'interno di questi messaggi reindirizzano i destinatari a siti Web ingannevoli, chiedendo loro di scaricare un file JavaScript responsabile dell'avvio del payload principale tramite msiexec.

Latrodectus crittografa i dati di sistema e li inoltra al server di comando e controllo (C2), avviando una richiesta di download del bot. Una volta che il bot stabilisce il contatto con il C2, procede a sollecitarne i comandi.

Il malware Latrodectus può eseguire numerosi comandi invasivi

Il malware possiede la capacità di rilevare ambienti sandbox verificando la presenza di un indirizzo MAC valido e un minimo di 75 processi in esecuzione su sistemi che eseguono Windows 10 o versioni successive.

Similmente a IcedID, Latrodectus è programmato per trasmettere i dettagli di registrazione tramite una richiesta POST al server C2, dove i campi sono concatenati in parametri HTTP e crittografati. Successivamente attende ulteriori istruzioni dal server. Questi comandi consentono al malware di enumerare file e processi, eseguire file binari e DLL, emettere direttive arbitrarie tramite cmd.exe, aggiornare il bot e persino terminare i processi in esecuzione.

Un ulteriore esame dell’infrastruttura dell’aggressore rivela che i server C2 iniziali sono diventati operativi il 18 settembre 2023. Questi server sono configurati per interagire con un server Tier 2 upstream istituito intorno ad agosto 2023.

L'associazione tra Latrodectus e IcedID è evidente dalle connessioni del server T2 con l'infrastruttura backend collegata a IcedID, insieme all'utilizzo di jump box precedentemente legati alle operazioni IcedID.

I ricercatori prevedono un aumento nell’utilizzo di Latrodectus da parte di autori di minacce motivate finanziariamente nel regno criminale, in particolare coloro che hanno precedentemente diffuso IcedID.