Latrodectus Malware

Безбедносни аналитичари су открили нови злонамерни софтвер назван Латродецтус, који је циркулисао путем пхисхинг покушаја е-поште најмање од краја новембра 2023. Латродецтус се истиче као преузимач у настајању опремљен различитим могућностима избегавања сандбок-а, педантно направљен за преузимање корисних података и извршавање команди.

Постоје индиције које указују на то да креатори озлоглашеног ИцедИД малвера вероватно стоје иза развоја Латродецтуса. Овај програм за преузимање користе брокери за иницијални приступ (ИАБ) да поједноставе примену другог злонамерног софтвера.

Латродектус је претежно повезан са две различите ИАБ, идентификоване као ТА577 (такође познат као Ватер Цурупира) и ТА578. Треба напоменути да је ТА577 такође умешан у ширење КакБот-а и ПикаБот-а .

Латродецтус можда превазилази старије претње од злонамерног софтвера

До средине јануара 2024. ТА578 је претежно користио Латродецтус у кампањама претњи заснованим на е-пошти, које се често шире путем ДанаБот инфекција. ТА578, познати глумац најмање од маја 2020. године, повезан је са разним кампањама е-поште које дистрибуирају Урсниф , ИцедИД , КПОТ Стеалер, Буер Лоадер , БазаЛоадер, Цобалт Стрике и Бумблебее .

Секвенце напада укључују искоришћавање образаца за контакт на веб локацији за слање правних претњи у вези са наводним кршењем ауторских права циљаним организацијама. Уграђене везе унутар ових порука преусмеравају примаоце на обмањујуће веб локације, подстичући их да преузму ЈаваСцрипт датотеку одговорну за покретање примарног корисног оптерећења путем мсиекец-а.

Латродецтус шифрује системске податке и прослеђује их серверу за команду и контролу (Ц2), иницирајући захтев за преузимање бота. Када бот успостави контакт са Ц2, наставља да тражи команде од њега.

Злонамерни софтвер Латродецтус може да извршава бројне инвазивне команде

Злонамерни софтвер поседује могућност да открије окружења у заштићеном окружењу провером присуства важеће МАЦ адресе и најмање 75 покренутих процеса на системима који користе Виндовс 10 или новији.

Слично ИцедИД-у, Латродецтус је програмиран да преноси податке о регистрацији путем ПОСТ захтева на Ц2 сервер, где се поља спајају у ХТТП параметре и шифрују. Након тога, чека даље инструкције од сервера. Ове команде омогућавају малверу да набраја датотеке и процесе, извршава бинарне и ДЛЛ датотеке, издаје произвољне директиве преко цмд.еке, ажурира бот, па чак и прекида покренуте процесе.

Даље испитивање инфраструктуре нападача открива да су почетни Ц2 сервери постали оперативни 18. септембра 2023. Ови сервери су конфигурисани за интеракцију са узводним сервером Тиер 2 који је успостављен око августа 2023. године.

Повезаност између Латродецтус-а и ИцедИД-а је очигледна из конекција Т2 сервера са позадинском инфраструктуром повезаном са ИцедИД-ом, заједно са коришћењем јумп бок-ова који су претходно били везани за ИцедИД операције.

Истраживачи предвиђају пораст употребе Латродецтуса од стране финансијски мотивисаних претњи у области криминала, посебно оних који су раније ширили ИцедИД.