Latrodectus Malware

Säkerhetsanalytiker har avslöjat en ny skadlig programvara kallad Latrodectus, som har cirkulerats via e-postnätfiske sedan åtminstone slutet av november 2023. Latrodectus utmärker sig som en framväxande nedladdare utrustad med olika sandlådeundandragningsfunktioner, noggrant utformad för att hämta nyttolaster och utföra arbitriska kommandon.

Det finns indikationer som tyder på att skaparna av den ökända IcedID skadlig programvara troligen ligger bakom utvecklingen av Latrodectus. Denna nedladdare används av initial access brokers (IAB) för att effektivisera distributionen av annan skadlig programvara.

Latrodectus är huvudsakligen associerad med två distinkta IABs, identifierade som TA577 (även känd som Water Curupira) och TA578. Notera att TA577 också har varit inblandad i spridningen av QakBot och PikaBot .

Latrodectus kan ersätta äldre hot mot skadlig programvara

I mitten av januari 2024 har Latrodectus huvudsakligen använts av TA578 i e-postbaserade hotkampanjer, ofta spridda genom DanaBot- infektioner. TA578, en känd skådespelare sedan åtminstone maj 2020, har associerats med olika e-postkampanjer som distribuerar Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike och Bumblebee .

Attacksekvenserna innebär att man utnyttjar webbplatsens kontaktformulär för att skicka juridiska hot angående påstådda upphovsrättsbrott till riktade organisationer. Inbäddade länkar i dessa meddelanden omdirigerar mottagare till vilseledande webbplatser, vilket uppmanar dem att ladda ner en JavaScript-fil som ansvarar för att initiera den primära nyttolasten via msiexec.

Latrodectus krypterar systemdata och vidarebefordrar dem till Command-and-Control-servern (C2), vilket initierar en begäran om botnedladdning. När boten etablerar kontakt med C2 fortsätter den att be om kommandon från den.

Latrodectus Malware kan utföra många invasiva kommandon

Skadlig programvara har förmågan att upptäcka sandlådemiljöer genom att verifiera närvaron av en giltig MAC-adress och minst 75 körande processer på system som kör Windows 10 eller senare.

I likhet med IcedID är Latrodectus programmerad att överföra registreringsdetaljer via en POST-begäran till C2-servern, där fälten sammanfogas till HTTP-parametrar och krypteras. Därefter väntar den på ytterligare instruktioner från servern. Dessa kommandon ger skadlig programvara möjlighet att räkna upp filer och processer, köra binärfiler och DLL-filer, utfärda godtyckliga direktiv via cmd.exe, uppdatera boten och till och med avsluta pågående processer.

Ytterligare granskning av angriparens infrastruktur avslöjar att de första C2-servrarna började fungera den 18 september 2023. Dessa servrar är konfigurerade att interagera med en uppströms Tier 2-server som etablerades runt augusti 2023.

Sambandet mellan Latrodectus och IcedID framgår av T2-serverns kopplingar med backend-infrastruktur kopplad till IcedID, tillsammans med användningen av jumpboxar som tidigare var kopplade till IcedID-operationer.

Forskare förväntar sig en ökning av Latrodectus-användningen av ekonomiskt motiverade hotaktörer i den kriminella sfären, särskilt de som tidigare har spridit IcedID.