Latrodectus Malware

Penganalisis keselamatan telah menemui perisian hasad baru yang digelar Latrodectus, yang telah diedarkan melalui usaha pancingan data e-mel sejak sekurang-kurangnya lewat November 2023. Latrodectus menonjol sebagai pemuat turun baru muncul yang dilengkapi dengan pelbagai keupayaan mengelak kotak pasir, direka dengan teliti untuk mengambil muatan dan melaksanakan arahan sewenang-wenangnya.

Terdapat tanda-tanda yang membayangkan bahawa pencipta perisian hasad IcedID yang terkenal berkemungkinan berada di belakang pembangunan Latrodectus. Pemuat turun ini digunakan oleh broker akses awal (IAB) untuk menyelaraskan penggunaan perisian hasad yang lain.

Latrodectus kebanyakannya dikaitkan dengan dua IAB yang berbeza, yang dikenal pasti sebagai TA577 (juga dikenali sebagai Curupira Air) dan TA578. Daripada makluman, TA577 telah terlibat dalam penyebaran QakBot dan PikaBot juga.

Latrodectus Mungkin Mengatasi Ancaman Peribadi Lama

Menjelang pertengahan Januari 2024, Latrodectus kebanyakannya digunakan oleh TA578 dalam kempen ancaman berasaskan e-mel, selalunya disebarkan melalui jangkitan DanaBot . TA578, pelakon terkenal sejak sekurang-kurangnya Mei 2020, telah dikaitkan dengan pelbagai kempen e-mel yang mengedarkan Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike dan Bumblebee .

Urutan serangan melibatkan mengeksploitasi borang hubungan tapak web untuk menghantar ancaman undang-undang mengenai pelanggaran hak cipta yang dikatakan kepada organisasi yang disasarkan. Pautan terbenam dalam mesej ini mengubah hala penerima ke tapak web yang menipu, mendorong mereka memuat turun fail JavaScript yang bertanggungjawab untuk memulakan muatan utama melalui msiexec.

Latrodectus menyulitkan data sistem dan memajukannya ke pelayan Command-and-Control (C2), memulakan permintaan untuk muat turun bot. Sebaik sahaja bot menjalin hubungan dengan C2, ia meneruskan untuk mendapatkan arahan daripadanya.

Perisian Hasad Latrodectus Boleh Menjalankan Banyak Perintah Invasif

Malware mempunyai keupayaan untuk mengesan persekitaran kotak pasir dengan mengesahkan kehadiran alamat MAC yang sah dan sekurang-kurangnya 75 proses berjalan pada sistem yang menjalankan Windows 10 atau lebih baharu.

Sama seperti IcedID, Latrodectus diprogramkan untuk menghantar butiran pendaftaran melalui permintaan POST ke pelayan C2, di mana medan digabungkan ke dalam parameter HTTP dan disulitkan. Selepas itu, ia menunggu arahan selanjutnya daripada pelayan. Perintah ini memperkasakan perisian hasad untuk menghitung fail dan proses, melaksanakan binari dan fail DLL, mengeluarkan arahan sewenang-wenangnya melalui cmd.exe, mengemas kini bot dan juga menamatkan proses yang sedang berjalan.

Pemeriksaan lanjut terhadap infrastruktur penyerang mendedahkan bahawa pelayan C2 awal mula beroperasi pada 18 September 2023. Pelayan ini dikonfigurasikan untuk berinteraksi dengan pelayan Tahap 2 huluan yang ditubuhkan sekitar Ogos 2023.

Perkaitan antara Latrodectus dan IcedID terbukti daripada sambungan pelayan T2 dengan infrastruktur bahagian belakang yang dikaitkan dengan IcedID, bersama-sama dengan penggunaan kotak lompat yang sebelum ini terikat dengan operasi IcedID.

Penyelidik menjangkakan peningkatan dalam penggunaan Latrodectus oleh pelakon ancaman yang bermotifkan kewangan dalam bidang jenayah, terutamanya mereka yang telah menyebarkan IcedID sebelum ini.