Latrodectus मालवेयर
सुरक्षा विश्लेषकहरूले Latrodectus डब गरिएको उपन्यास मालवेयर पत्ता लगाएका छन्, जुन कम्तिमा नोभेम्बर 2023 को अन्त्यदेखि इमेल फिसिङ प्रयासहरू मार्फत प्रसारित गरिएको छ। Latrodectus विभिन्न स्यान्डबक्स चोरी क्षमताहरूसँग सुसज्जित एक उभरिरहेको डाउनलोडरको रूपमा उभिएको छ, सावधानीपूर्वक कमाण्ड पेलोडहरू प्राप्त गर्न र एक्सक्यूट पेलोडहरू ल्याउनको लागि तयार पारिएको छ।
त्यहाँ संकेतहरू छन् कि कुख्यात IcedID मालवेयरका सिर्जनाकर्ताहरू Latrodectus को विकास पछि छन्। यो डाउनलोडरलाई प्रारम्भिक पहुँच ब्रोकरहरू (IABs) द्वारा अन्य दुर्भावनापूर्ण सफ्टवेयरको प्रयोगलाई सुव्यवस्थित गर्न प्रयोग गरिन्छ।
Latrodectus मुख्यतया दुई अलग IABs सँग सम्बन्धित छ, जसलाई TA577 (जसलाई वाटर कुरुपिरा पनि भनिन्छ) र TA578 भनिन्छ। ध्यान दिनुहोस्, TA577 QakBot र PikaBot को प्रसारमा पनि संलग्न भएको छ।
ल्याट्रोडेक्टसले पुरानो मालवेयर धम्कीलाई अतिक्रमण गर्न सक्छ
मध्य जनवरी 2024 सम्म, Latrodectus लाई मुख्य रूपमा TA578 द्वारा ईमेल-आधारित खतरा अभियानहरूमा प्रयोग गरिएको छ, प्रायः DanaBot संक्रमणहरू मार्फत फैलिएको छ। TA578, कम्तिमा मे २०२० देखि परिचित अभिनेता, Ursnif , IcedID , KPOT Stealer , Buer Loader , BazaLoader , Cobalt Strike , र Bumblebee वितरण गर्ने विभिन्न इमेल अभियानहरूसँग सम्बद्ध छन्।
आक्रमणको क्रमले लक्षित संस्थाहरूलाई कथित प्रतिलिपि अधिकार उल्लङ्घन सम्बन्धी कानुनी धम्कीहरू पठाउन वेबसाइट सम्पर्क फारमहरूको शोषण समावेश गर्दछ। यी सन्देशहरू भित्र इम्बेडेड लिङ्कहरूले प्राप्तकर्ताहरूलाई भ्रामक वेबसाइटहरूमा रिडिरेक्ट गर्दछ, तिनीहरूलाई msiexec मार्फत प्राथमिक पेलोड सुरु गर्न जिम्मेवार JavaScript फाइल डाउनलोड गर्न प्रेरित गर्दछ।
Latrodectus ले प्रणाली डेटा इन्क्रिप्ट गर्दछ र यसलाई कमाण्ड-एन्ड-कन्ट्रोल सर्भर (C2) मा फर्वार्ड गर्दछ, बोट डाउनलोडको लागि अनुरोध प्रारम्भ गर्दै। एकचोटि बोटले C2 सँग सम्पर्क स्थापित गरेपछि, यो यसबाट आदेशहरू माग गर्न अगाडि बढ्छ।
Latrodectus मालवेयरले धेरै आक्रमणकारी आदेशहरू बोक्न सक्छ
मालवेयरसँग वैध MAC ठेगाना र Windows 10 वा नयाँ चलिरहेको प्रणालीहरूमा न्यूनतम 75 चलिरहेको प्रक्रियाहरूको उपस्थिति प्रमाणित गरेर स्यान्डबक्स गरिएको वातावरण पत्ता लगाउने क्षमता छ।
IcedID जस्तै, Latrodectus लाई C2 सर्भरमा POST अनुरोध मार्फत दर्ता विवरणहरू प्रसारण गर्न प्रोग्राम गरिएको छ, जहाँ फिल्डहरूलाई HTTP प्यारामिटरहरूमा जोडिएको छ र इन्क्रिप्ट गरिएको छ। पछि, यो सर्भरबाट थप निर्देशनहरू पर्खिरहेको छ। यी आदेशहरूले मालवेयरलाई फाइलहरू र प्रक्रियाहरू गणना गर्न, बाइनरीहरू र DLL फाइलहरू कार्यान्वयन गर्न, cmd.exe मार्फत स्वेच्छाचारी निर्देशनहरू जारी गर्न, बोट अद्यावधिक गर्न, र चलिरहेको प्रक्रियाहरू समाप्त गर्न पनि सशक्त बनाउँछ।
आक्रमणकारी पूर्वाधारको थप छानबिनले प्रारम्भिक C2 सर्भरहरू सेप्टेम्बर 18, 2023 मा सञ्चालनमा आएको देखाउँछ। यी सर्भरहरू अगस्ट 2023 मा स्थापित अपस्ट्रीम टियर 2 सर्भरसँग अन्तरक्रिया गर्न कन्फिगर गरिएका छन्।
Latrodectus र IcedID बीचको सम्बन्ध IcedID मा जोडिएको ब्याकएन्ड पूर्वाधारसँग T2 सर्भरको जडानहरूबाट स्पष्ट हुन्छ, साथै IcedID अपरेशनहरूमा पहिले जोडिएको जम्प बक्सहरूको उपयोग।
अनुसन्धानकर्ताहरूले आपराधिक क्षेत्रमा आर्थिक रूपमा उत्प्रेरित खतरा अभिनेताहरूद्वारा ल्याट्रोडेक्टस प्रयोगमा वृद्धि हुने अनुमान गरेका छन्, विशेष गरी ती व्यक्तिहरू जसले पहिले IcedID प्रसारित गरेका छन्।
