Latrodectus Malware

Analistët e sigurisë kanë zbuluar një malware të ri të quajtur Latrodectus, i cili ka qarkulluar përmes përpjekjeve për phishing me email që të paktën nga fundi i nëntorit 2023. Latrodectus shquhet si një shkarkues në zhvillim i pajisur me aftësi të ndryshme evazioni sandbox, i krijuar në mënyrë të përpiktë për të marrë ngarkesa arbitrare dhe komanda.

Ka indikacione që nënkuptojnë se krijuesit e malware famëkeq IcedID janë me siguri prapa zhvillimit të Latrodectus. Ky shkarkues përdoret nga ndërmjetësit e aksesit fillestar (IAB) për të thjeshtuar vendosjen e programeve të tjera me qëllim të keq.

Latrodectus është i lidhur kryesisht me dy IAB të dallueshme, të identifikuara si TA577 (i njohur gjithashtu si Curupira e ujit) dhe TA578. Vlen të përmendet se TA577 është përfshirë në shpërndarjen e QakBot dhe PikaBot gjithashtu.

Latrodectus mund të tejkalojë kërcënimet e vjetra të malware

Nga mesi i janarit 2024, Latrodectus është përdorur kryesisht nga TA578 në fushatat e kërcënimit të bazuara në email, shpesh të shpërndara përmes infeksioneve DanaBot . TA578, një aktor i njohur që të paktën nga maji 2020, është shoqëruar me fushata të ndryshme emaili që shpërndajnë Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike dhe Bumblebee .

Sekuencat e sulmit përfshijnë shfrytëzimin e formave të kontaktit të faqeve të internetit për të dërguar kërcënime ligjore në lidhje me shkeljet e supozuara të të drejtave të autorit te organizatat e synuara. Lidhjet e ngulitura brenda këtyre mesazheve i ridrejtojnë marrësit në faqet e internetit mashtruese, duke i shtyrë ata të shkarkojnë një skedar JavaScript përgjegjës për fillimin e ngarkesës kryesore përmes msiexec.

Latrodectus kodon të dhënat e sistemit dhe i përcjell ato te serveri Command-and-Control (C2), duke inicuar një kërkesë për shkarkim të botit. Pasi roboti vendos kontakt me C2, ai vazhdon të kërkojë komanda prej tij.

Malware Latrodectus mund të kryejë komanda të shumta pushtuese

Malware posedon aftësinë për të zbuluar mjedise me sandbox duke verifikuar praninë e një adrese të vlefshme MAC dhe një minimum prej 75 procesesh ekzekutuese në sistemet që ekzekutojnë Windows 10 ose më të reja.

Ngjashëm me IcedID, Latrodectus është programuar për të transmetuar detajet e regjistrimit nëpërmjet një kërkese POST në serverin C2, ku fushat janë të lidhura në parametrat HTTP dhe të koduara. Më pas, ai pret udhëzime të mëtejshme nga serveri. Këto komanda fuqizojnë softuerin të numërojë skedarë dhe procese, të ekzekutojë skedarë binare dhe DLL, të lëshojë direktiva arbitrare përmes cmd.exe, të përditësojë bot-in dhe madje të përfundojë proceset e ekzekutimit.

Shqyrtimi i mëtejshëm i infrastrukturës së sulmuesit zbulon se serverët fillestarë C2 u bënë funksionale më 18 shtator 2023. Këta serverë janë konfiguruar të ndërveprojnë me një server të nivelit 2 në rrjedhën e sipërme të krijuar rreth gushtit 2023.

Lidhja midis Latrodectus dhe IcedID është e dukshme nga lidhjet e serverit T2 me infrastrukturën mbështetëse të lidhur me IcedID, së bashku me përdorimin e kutive të kërcimit të lidhura më parë me operacionet IcedID.

Studiuesit parashikojnë një rritje të përdorimit të Latrodectus nga aktorët e kërcënimit financiarisht të motivuar në fushën kriminale, veçanërisht ata që kanë shpërndarë më parë IcedID.