Latrodectus Malware

Bezpečnostní analytici odhalili nový malvér s názvom Latrodectus, ktorý sa šíri prostredníctvom e-mailového phishingu prinajmenšom od konca novembra 2023. Latrodectus vyniká ako vznikajúci downloader vybavený rôznymi schopnosťami vyhýbania sa sandboxu, precízne vytvoreným na načítanie dát a vykonávanie ľubovoľných príkazov.

Existujú náznaky, že za vývojom Latrodectus pravdepodobne stoja tvorcovia notoricky známeho malvéru IcedID . Tento downloader používajú makléri počiatočného prístupu (IAB) na zefektívnenie nasadenia iného škodlivého softvéru.

Latrodectus je prevažne spojený s dvoma odlišnými IAB, identifikovanými ako TA577 (tiež známy ako Water Curupira) a TA578. Je potrebné poznamenať, že TA577 sa podieľa aj na šírení QakBot a PikaBot .

Latrodectus môže nahradiť staršie hrozby škodlivého softvéru

Do polovice januára 2024 bol Latrodectus využívaný najmä TA578 v kampaniach proti hrozbám založeným na e-mailoch, ktoré sa často šíria prostredníctvom infekcií DanaBot . TA578, známy herec minimálne od mája 2020, je spájaný s rôznymi e-mailovými kampaňami distribuujúcimi Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike a Bumblebee .

Útočné sekvencie zahŕňajú zneužívanie kontaktných formulárov webových stránok na odosielanie právnych hrozieb týkajúcich sa údajného porušenia autorských práv cieľovým organizáciám. Vložené odkazy v týchto správach presmerujú príjemcov na klamlivé webové stránky a vyzvú ich, aby si stiahli súbor JavaScript zodpovedný za spustenie primárneho obsahu cez msiexec.

Latrodectus zašifruje systémové údaje a odošle ich na server Command-and-Control (C2), čím spustí požiadavku na stiahnutie robota. Keď bot nadviaže kontakt s C2, začne od neho žiadať príkazy.

Malvér Latrodectus môže vykonávať množstvo invazívnych príkazov

Malvér má schopnosť detegovať prostredia v karanténe overením prítomnosti platnej MAC adresy a minimálne 75 spustených procesov na systémoch so systémom Windows 10 alebo novším.

Podobne ako IcedID, aj Latrodectus je naprogramovaný na prenos registračných údajov prostredníctvom požiadavky POST na server C2, kde sú polia spojené do parametrov HTTP a zašifrované. Následne čaká na ďalšie pokyny zo servera. Tieto príkazy umožňujú malvéru vymenovať súbory a procesy, spúšťať binárne súbory a súbory DLL, vydávať ľubovoľné príkazy cez cmd.exe, aktualizovať robota a dokonca ukončiť spustené procesy.

Ďalšie skúmanie infraštruktúry útočníkov ukazuje, že prvé servery C2 začali fungovať 18. septembra 2023. Tieto servery sú nakonfigurované na interakciu s upstream serverom úrovne 2, ktorý bol vytvorený okolo augusta 2023.

Spojenie medzi Latrodectus a IcedID je zrejmé z prepojení servera T2 s backendovou infraštruktúrou prepojenou s IcedID, spolu s využitím skokových boxov, ktoré boli predtým spojené s operáciami IcedID.

Výskumníci očakávajú prudký nárast používania Latrodectus finančne motivovanými hrozbami v kriminálnej sfére, najmä tými, ktorí už predtým šírili IcedID.