Latrodectus kenkėjiška programa

Saugumo analitikai atskleidė naują kenkėjišką programą, pavadintą Latrodectus, kuri buvo platinama per el. pašto sukčiavimo pastangas mažiausiai nuo 2023 m. lapkričio pabaigos. Latrodectus išsiskiria kaip nauja parsisiuntimo programa, aprūpinta įvairiomis smėlio dėžės vengimo galimybėmis, kruopščiai sukurta, kad būtų galima gauti naudingus krovinius ir vykdyti komandas.

Yra požymių, leidžiančių manyti, kad už Latrodectus kūrimą greičiausiai slypi liūdnai pagarsėjusios IcedID kenkėjiškos programos kūrėjai. Šį atsisiuntimo programą naudoja pradinės prieigos tarpininkai (IAB), kad supaprastintų kitos kenkėjiškos programinės įrangos diegimą.

Latrodectus daugiausia siejamas su dviem skirtingais IAB, identifikuojamais kaip TA577 (taip pat žinomas kaip Water Curupira) ir TA578. Pažymėtina, kad TA577 taip pat buvo susijęs su „QakBot“ ir „PikaBot“ platinimu.

„Latrodectus“ gali įveikti senesnes kenkėjiškų programų grėsmes

Iki 2024 m. sausio vidurio Latrodectus daugiausia naudojo TA578 el. paštu pagrįstose grėsmių kampanijose, kurios dažnai plinta per DanaBot infekcijas. TA578, žinomas aktorius mažiausiai nuo 2020 m. gegužės mėn., buvo susijęs su įvairiomis el. pašto kampanijomis, platinančiomis Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike ir Bumblebee .

Atakų sekos apima svetainės kontaktinių formų naudojimą, kad tikslinėms organizacijoms būtų siunčiami teisiniai grasinimai dėl tariamų autorių teisių pažeidimų. Šiuose pranešimuose esančios įterptosios nuorodos nukreipia gavėjus į apgaulingas svetaines, paragindamos juos atsisiųsti „JavaScript“ failą, atsakingą už pirminės naudingosios apkrovos inicijavimą per msiexec.

Latrodectus užšifruoja sistemos duomenis ir persiunčia juos į komandų ir valdymo serverį (C2), inicijuodama užklausą dėl roboto atsisiuntimo. Kai robotas užmezga ryšį su C2, jis pradeda prašyti jo komandų.

„Latrodectus“ kenkėjiška programa gali atlikti daugybę invazinių komandų

Kenkėjiška programa turi galimybę aptikti smėlio dėžės aplinką, patikrindama, ar sistemose, kuriose veikia „Windows 10“ ar naujesnė versija, yra galiojantis MAC adresas ir bent 75 vykdomi procesai.

Panašiai kaip „IcedID“, „Latrodectus“ yra užprogramuotas perduoti registracijos informaciją per POST užklausą į C2 serverį, kur laukai sujungiami į HTTP parametrus ir užšifruojami. Vėliau jis laukia tolesnių nurodymų iš serverio. Šios komandos įgalina kenkėjišką programą išvardyti failus ir procesus, vykdyti dvejetainius ir DLL failus, išleisti savavališkas direktyvas per cmd.exe, atnaujinti robotą ir net nutraukti veikiančius procesus.

Tolesnis užpuolikų infrastruktūros patikrinimas atskleidžia, kad pradiniai C2 serveriai pradėjo veikti 2023 m. rugsėjo 18 d. Šie serveriai sukonfigūruoti sąveikauti su 2 pakopos serveriu, sukurtu maždaug 2023 m. rugpjūčio mėn.

Ryšys tarp Latrodectus ir IcedID akivaizdus iš T2 serverio jungčių su užpakalinės infrastruktūros, susietos su IcedID, ir peršokimo dėžučių, anksčiau susietų su IcedID operacijomis, panaudojimo.

Tyrėjai numato, kad finansiškai motyvuoti grėsmės veikėjai nusikalstamoje srityje, ypač tie, kurie anksčiau platino IcedID, dažniau naudos Latrodectus.