Latrodectus-malware

Beveiligingsanalisten hebben een nieuwe malware ontdekt genaamd Latrodectus, die al sinds eind november 2023 via e-mailphishing-pogingen wordt verspreid. Latrodectus valt op als een opkomende downloader die is uitgerust met diverse sandbox-ontduikingsmogelijkheden, zorgvuldig ontworpen om payloads op te halen en willekeurige opdrachten uit te voeren.

Er zijn aanwijzingen dat de makers van de beruchte IcedID- malware waarschijnlijk achter de ontwikkeling van Latrodectus zitten. Deze downloader wordt gebruikt door Initial Access Brokers (IAB's) om de implementatie van andere kwaadaardige software te stroomlijnen.

Latrodectus wordt voornamelijk geassocieerd met twee verschillende IAB's, geïdentificeerd als TA577 (ook bekend als Water Curupira) en TA578. Merk op dat TA577 ook betrokken is bij de verspreiding van QakBot en PikaBot .

Latrodectus kan oudere malwarebedreigingen vervangen

Medio januari 2024 werd Latrodectus voornamelijk door TA578 gebruikt in op e-mail gebaseerde bedreigingscampagnes, vaak verspreid via DanaBot- infecties. TA578, een bekende acteur sinds minstens mei 2020, is in verband gebracht met verschillende e-mailcampagnes waarin Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike en Bumblebee worden verspreid.

Bij de aanvalssequenties wordt gebruik gemaakt van contactformulieren op websites om juridische bedreigingen met betrekking tot vermeende schendingen van het auteursrecht naar gerichte organisaties te sturen. Ingesloten links in deze berichten leiden de ontvangers om naar misleidende websites en vragen hen een JavaScript-bestand te downloaden dat verantwoordelijk is voor het initiëren van de primaire payload via msiexec.

Latrodectus codeert systeemgegevens en stuurt deze door naar de Command-and-Control-server (C2), waardoor een verzoek om botdownload wordt geïnitieerd. Zodra de bot contact heeft gemaakt met de C2, gaat hij verder met het vragen van opdrachten.

De Latrodectus-malware kan talloze invasieve opdrachten uitvoeren

De malware beschikt over de mogelijkheid om sandbox-omgevingen te detecteren door de aanwezigheid van een geldig MAC-adres en minimaal 75 actieve processen op systemen met Windows 10 of nieuwer te verifiëren.

Net als IcedID is Latrodectus geprogrammeerd om registratiegegevens via een POST-verzoek naar de C2-server te verzenden, waar de velden worden samengevoegd tot HTTP-parameters en gecodeerd. Vervolgens wacht het op verdere instructies van de server. Deze opdrachten stellen de malware in staat om bestanden en processen op te sommen, binaire bestanden en DLL-bestanden uit te voeren, willekeurige richtlijnen uit te geven via cmd.exe, de bot bij te werken en zelfs lopende processen te beëindigen.

Uit nader onderzoek van de infrastructuur van de aanvaller blijkt dat de eerste C2-servers op 18 september 2023 operationeel zijn geworden. Deze servers zijn geconfigureerd om te communiceren met een upstream Tier 2-server die rond augustus 2023 is opgericht.

De associatie tussen Latrodectus en IcedID blijkt duidelijk uit de verbindingen van de T2-server met de backend-infrastructuur gekoppeld aan IcedID, samen met het gebruik van jumpboxen die voorheen gekoppeld waren aan IcedID-operaties.

Onderzoekers verwachten een toename van het gebruik van Latrodectus door financieel gemotiveerde dreigingsactoren in het criminele domein, vooral degenen die eerder IcedID hebben verspreid.