Latrodectus Malware

Analiștii de securitate au descoperit un nou malware numit Latrodectus, care a fost vehiculat prin eforturile de phishing prin e-mail de cel puțin la sfârșitul lunii noiembrie 2023. Latrodectus se remarcă ca un program de descărcare în curs de dezvoltare, echipat cu diverse capacități de evaziune sandbox, concepute meticulos pentru a prelua încărcături utile și pentru a executa comenzi arbitrare.

Există indicii care sugerează că creatorii notoriului malware IcedID sunt probabil în spatele dezvoltării Latrodectus. Acest program de descărcare este folosit de brokerii de acces inițial (IAB) pentru a eficientiza implementarea altor software rău intenționați.

Latrodectus este asociat în principal cu două IAB distincte, identificate ca TA577 (cunoscut și ca Water Curupira) și TA578. De notat, TA577 a fost implicat și în diseminarea QakBot și PikaBot .

Latrodectus ar putea depăși amenințările malware mai vechi

Până la jumătatea lunii ianuarie 2024, Latrodectus a fost utilizat în mod predominant de TA578 în campanii de amenințări bazate pe e-mail, adesea diseminate prin infecții DanaBot . TA578, un actor cunoscut din mai 2020, a fost asociat cu diverse campanii de e-mail care distribuie Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike și Bumblebee .

Secvențele de atac implică exploatarea formularelor de contact ale site-ului web pentru a trimite organizațiilor vizate amenințări legale cu privire la presupusele încălcări ale drepturilor de autor. Legăturile încorporate în aceste mesaje redirecționează destinatarii către site-uri web înșelătoare, determinându-i să descarce un fișier JavaScript responsabil pentru inițierea sarcinii utile principale prin msiexec.

Latrodectus criptează datele sistemului și le transmite către serverul Command-and-Control (C2), inițiind o solicitare pentru descărcarea botului. Odată ce bot-ul stabilește contactul cu C2, acesta continuă să solicite comenzi de la acesta.

Programul malware Latrodectus poate executa numeroase comenzi invazive

Malware-ul are capacitatea de a detecta medii sandbox prin verificarea prezenței unei adrese MAC valide și a unui minim de 75 de procese care rulează pe sisteme care rulează Windows 10 sau mai nou.

Similar cu IcedID, Latrodectus este programat să transmită detalii de înregistrare printr-o solicitare POST către serverul C2, unde câmpurile sunt concatenate în parametri HTTP și criptate. Ulterior, așteaptă instrucțiuni suplimentare de la server. Aceste comenzi permit malware-ului să enumere fișiere și procese, să execute fișiere binare și DLL, să emită directive arbitrare prin cmd.exe, să actualizeze botul și chiar să încheie procesele care rulează.

O examinare suplimentară a infrastructurii atacatorului dezvăluie că serverele C2 inițiale au devenit operaționale pe 18 septembrie 2023. Aceste servere sunt configurate să interacționeze cu un server Tier 2 din amonte, stabilit în jurul lunii august 2023.

Asocierea dintre Latrodectus și IcedID este evidentă din conexiunile serverului T2 cu infrastructura backend legată de IcedID, împreună cu utilizarea jumpbox-urilor legate anterior de operațiunile IcedID.

Cercetătorii anticipează o creștere a utilizării Latrodectus de către actorii de amenințări motivați financiar din domeniul criminal, în special cei care au diseminat anterior IcedID.