Вредоносное ПО Latrodectus

Аналитики безопасности обнаружили новое вредоносное ПО под названием Latrodectus, которое распространяется посредством фишинга по электронной почте, по крайней мере, с конца ноября 2023 года. Latrodectus выделяется как новый загрузчик, оснащенный разнообразными возможностями обхода песочницы, тщательно созданный для получения полезных данных и выполнения произвольных команд.

Есть признаки того, что за разработкой Latrodectus, вероятно, стоят создатели пресловутого вредоносного ПО IcedID . Этот загрузчик используется брокерами начального доступа (IAB) для оптимизации развертывания другого вредоносного программного обеспечения.

Latrodectus преимущественно связан с двумя различными IAB, обозначенными как TA577 (также известный как Water Curupira) и TA578. Следует отметить, что TA577 также был замешан в распространении QakBot и PikaBot .

Latrodectus может заменить старые вредоносные угрозы

К середине января 2024 года TA578 преимущественно использовал Latrodectus в кампаниях по распространению угроз по электронной почте, часто распространявшихся через заражение DanaBot . TA578, известный актер как минимум с мая 2020 года, был связан с различными почтовыми кампаниями по распространению Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike и Bumblebee .

Последовательности атак включают использование контактных форм веб-сайта для отправки юридических угроз относительно предполагаемых нарушений авторских прав целевым организациям. Встроенные ссылки в этих сообщениях перенаправляют получателей на мошеннические веб-сайты, предлагая им загрузить файл JavaScript, ответственный за инициацию основной полезной нагрузки через msiexec.

Latrodectus шифрует системные данные и пересылает их на сервер управления (C2), инициируя запрос на загрузку бота. Как только бот устанавливает контакт с C2, он начинает запрашивать от него команды.

Вредоносная программа Latrodectus может выполнять многочисленные инвазивные команды

Вредоносное ПО обладает способностью обнаруживать изолированные среды, проверяя наличие действующего MAC-адреса и минимум 75 запущенных процессов в системах под управлением Windows 10 или более поздней версии.

Подобно IcedID, Latrodectus запрограммирован на передачу регистрационных данных через POST-запрос на сервер C2, где поля объединяются в параметры HTTP и шифруются. После этого он ожидает дальнейших инструкций от сервера. Эти команды позволяют вредоносному ПО перебирать файлы и процессы, выполнять двоичные файлы и файлы DLL, выдавать произвольные директивы через cmd.exe, обновлять бота и даже завершать запущенные процессы.

Дальнейшее изучение инфраструктуры злоумышленников показывает, что первые серверы C2 начали работу 18 сентября 2023 года. Эти серверы настроены на взаимодействие с вышестоящим сервером уровня 2, установленным примерно в августе 2023 года.

Связь между Latrodectus и IcedID очевидна из соединений сервера T2 с серверной инфраструктурой, связанной с IcedID, а также из использования переходных блоков, ранее привязанных к операциям IcedID.

Исследователи ожидают всплеска использования Latrodectus финансово мотивированными злоумышленниками в криминальной сфере, особенно теми, кто ранее распространял IcedID.