Latrodectus ļaunprātīga programmatūra

Drošības analītiķi ir atklājuši jaunu ļaunprogrammatūru ar nosaukumu Latrodectus, kas vismaz kopš 2023. gada novembra beigām ir izplatīta, izmantojot e-pasta pikšķerēšanas pasākumus. Latrodectus izceļas kā jauns lejupielādētājs, kas ir aprīkots ar dažādām smilškastes izvairīšanās iespējām un ir rūpīgi izstrādāts, lai iegūtu lietderīgās slodzes un izpildītu komandas.

Ir pazīmes, kas liecina, ka aiz Latrodectus izstrādes, visticamāk, ir bēdīgi slavenās ļaunprogrammatūras IcedID veidotāji. Šo lejupielādētāju izmanto sākotnējās piekļuves brokeri (IAB), lai racionalizētu citas ļaunprātīgas programmatūras izvietošanu.

Latrodectus galvenokārt ir saistīts ar diviem atšķirīgiem IAB, kas identificēti kā TA577 (pazīstams arī kā Water Curupira) un TA578. Jāatzīmē, ka TA577 ir iesaistīts arī QakBot un PikaBot izplatīšanā.

Latrodectus var pārvarēt vecākus ļaunprātīgas programmatūras draudus

Līdz 2024. gada janvāra vidum Latrodectus galvenokārt izmantoja TA578 e-pasta draudu kampaņās, kuras bieži izplatās ar DanaBot infekciju palīdzību. TA578, pazīstams aktieris vismaz kopš 2020. gada maija, ir bijis saistīts ar dažādām e-pasta kampaņām, kas izplata Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike un Bumblebee .

Uzbrukumu secības ietver vietņu saziņas veidlapu izmantošanu, lai mērķorganizācijām nosūtītu juridiskus draudus saistībā ar iespējamiem autortiesību pārkāpumiem. Šajos ziņojumos iegultās saites novirza adresātus uz maldinošām vietnēm, liekot viņiem lejupielādēt JavaScript failu, kas ir atbildīgs par primārās slodzes iniciēšanu, izmantojot msiexec.

Latrodectus šifrē sistēmas datus un pārsūta tos Command-and-Control serverim (C2), iniciējot robota lejupielādes pieprasījumu. Kad robots nodibina kontaktu ar C2, tas sāk pieprasīt komandas no tā.

Latrodectus ļaunprogrammatūra var izpildīt daudzas invazīvas komandas

Ļaunprātīgajai programmatūrai ir iespēja noteikt smilškastes vidi, pārbaudot derīgas MAC adreses esamību un vismaz 75 darbojošos procesus sistēmās, kurās darbojas operētājsistēma Windows 10 vai jaunāka versija.

Līdzīgi kā IcedID, Latrodectus ir ieprogrammēts, lai ar POST pieprasījumu pārsūtītu reģistrācijas informāciju uz C2 serveri, kur lauki tiek savienoti HTTP parametros un šifrēti. Pēc tam tas gaida turpmākus norādījumus no servera. Šīs komandas ļauj ļaunprātīgai programmatūrai uzskaitīt failus un procesus, izpildīt bināros un DLL failus, izdot patvaļīgas direktīvas, izmantojot cmd.exe, atjaunināt robotprogrammatūru un pat pārtraukt darbības procesus.

Turpmāka uzbrucēju infrastruktūras pārbaude atklāj, ka sākotnējie C2 serveri sāka darboties 2023. gada 18. septembrī. Šie serveri ir konfigurēti, lai mijiedarbotos ar 2. līmeņa augšupējo serveri, kas izveidots aptuveni 2023. gada augustā.

Saistība starp Latrodectus un IcedID ir redzama no T2 servera savienojumiem ar aizmugures infrastruktūru, kas ir saistīta ar IcedID, kā arī ar IcedID operācijām iepriekš piesaistīto pārejas lodziņu izmantošanu.

Pētnieki paredz, ka Latrodectus arvien vairāk izmantos finansiāli motivēti draudu dalībnieki noziedzīgajā jomā, īpaši tie, kas iepriekš ir izplatījuši IcedID.