Złośliwe oprogramowanie Latrodectus

Analitycy bezpieczeństwa odkryli nowe złośliwe oprogramowanie o nazwie Latrodectus, które jest rozpowszechniane w ramach prób phishingu za pośrednictwem poczty e-mail co najmniej od końca listopada 2023 r. Latrodectus wyróżnia się jako nowy program pobierający wyposażony w różnorodne możliwości omijania piaskownicy, skrupulatnie przygotowany do pobierania ładunków i wykonywania dowolnych poleceń.

Istnieją przesłanki sugerujące, że za rozwojem Latrodectus najprawdopodobniej stoją twórcy cieszącego się złą sławą szkodliwego oprogramowania IcedID . Ten moduł pobierania jest wykorzystywany przez brokerów początkowego dostępu (IAB) w celu usprawnienia wdrażania innego złośliwego oprogramowania.

Latrodectus jest głównie powiązany z dwoma odrębnymi IAB, zidentyfikowanymi jako TA577 (znany również jako Water Curupira) i TA578. Warto zauważyć, że TA577 był również zamieszany w rozpowszechnianie QakBot i PikaBot .

Latrodectus może zastąpić starsze zagrożenia złośliwym oprogramowaniem

Do połowy stycznia 2024 r. Latrodectus był wykorzystywany głównie przez TA578 w kampaniach zagrożeń opartych na poczcie e-mail, często rozpowszechnianych za pośrednictwem infekcji DanaBot . TA578, znany aktor co najmniej od maja 2020 r., był powiązany z różnymi kampaniami e-mailowymi dystrybuującymi Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike i Bumblebee .

Sekwencje ataków obejmują wykorzystywanie formularzy kontaktowych w witrynach internetowych w celu wysyłania do docelowych organizacji gróźb prawnych dotyczących rzekomych naruszeń praw autorskich. Linki osadzone w tych wiadomościach przekierowują odbiorców do zwodniczych witryn internetowych, zachęcając ich do pobrania pliku JavaScript odpowiedzialnego za inicjowanie głównego ładunku za pośrednictwem msiexec.

Latrodectus szyfruje dane systemowe i przekazuje je do serwera dowodzenia i kontroli (C2), inicjując żądanie pobrania bota. Gdy bot nawiąże kontakt z C2, pobiera od niego polecenia.

Złośliwe oprogramowanie Latrodectus może wykonywać wiele inwazyjnych poleceń

Szkodnik posiada zdolność wykrywania środowisk piaskownicy poprzez weryfikację obecności prawidłowego adresu MAC i minimum 75 uruchomionych procesów w systemach z systemem Windows 10 lub nowszym.

Podobnie jak IcedID, Latrodectus jest zaprogramowany do przesyłania szczegółów rejestracji za pośrednictwem żądania POST do serwera C2, gdzie pola są łączone w parametry HTTP i szyfrowane. Następnie oczekuje na dalsze instrukcje z serwera. Polecenia te umożliwiają złośliwemu oprogramowaniu wyliczanie plików i procesów, wykonywanie plików binarnych i DLL, wydawanie dowolnych dyrektyw za pośrednictwem cmd.exe, aktualizowanie bota, a nawet kończenie uruchomionych procesów.

Dalsza analiza infrastruktury atakującego pokazuje, że pierwsze serwery C2 zaczęły działać 18 września 2023 r. Serwery te są skonfigurowane do interakcji z serwerem nadrzędnym poziomu 2 utworzonym około sierpnia 2023 r.

Powiązanie między Latrodectus i IcedID jest oczywiste na podstawie połączeń serwera T2 z infrastrukturą zaplecza połączoną z IcedID, a także wykorzystaniem skrzynek skokowych powiązanych wcześniej z operacjami IcedID.

Badacze spodziewają się gwałtownego wzrostu wykorzystania Latrodectus przez ugrupowania przestępcze motywowane finansowo, zwłaszcza te, które wcześniej rozpowszechniały IcedID.