Latrodectus Malware
பாதுகாப்பு ஆய்வாளர்கள் Latrodectus என அழைக்கப்படும் ஒரு புதிய தீம்பொருளைக் கண்டுபிடித்துள்ளனர், இது மின்னஞ்சல் ஃபிஷிங் முயற்சிகள் மூலம் குறைந்தது நவம்பர் 2023 இல் இருந்து விநியோகிக்கப்படுகிறது. Latrodectus பல்வேறு சாண்ட்பாக்ஸ் ஏய்ப்பு திறன்களைக் கொண்ட ஒரு வளர்ந்து வரும் பதிவிறக்கியாக தனித்து நிற்கிறது.
லாட்ரோடெக்டஸின் வளர்ச்சியின் பின்னணியில் மோசமான IcedID தீம்பொருளை உருவாக்கியவர்கள் இருக்கலாம் என்பதைக் குறிக்கும் அறிகுறிகள் உள்ளன. பிற தீங்கிழைக்கும் மென்பொருளின் வரிசைப்படுத்தலை சீராக்க ஆரம்ப அணுகல் தரகர்களால் (IABs) இந்தப் பதிவிறக்கம் பயன்படுத்தப்படுகிறது.
Latrodectus முக்கியமாக இரண்டு தனித்துவமான IABகளுடன் தொடர்புடையது, TA577 (Water Curupira என்றும் அழைக்கப்படுகிறது) மற்றும் TA578 என அடையாளம் காணப்பட்டுள்ளது. QakBot மற்றும் PikaBot ஆகியவற்றின் பரவலிலும் TA577 சம்பந்தப்பட்டது என்பது குறிப்பிடத்தக்கது.
லாட்ரோடெக்டஸ் பழைய மால்வேர் அச்சுறுத்தல்களை முறியடிக்கலாம்
ஜனவரி 2024 நடுப்பகுதியில், மின்னஞ்சல் அடிப்படையிலான அச்சுறுத்தல் பிரச்சாரங்களில் TA578 ஆல் லாட்ரோடெக்டஸ் முக்கியமாகப் பயன்படுத்தப்பட்டது, இது பெரும்பாலும் DanaBot தொற்றுகள் மூலம் பரப்பப்படுகிறது. TA578, குறைந்தது மே 2020 முதல் அறியப்பட்ட நடிகர், Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike மற்றும் Bumblebee ஆகியவற்றை விநியோகிக்கும் பல்வேறு மின்னஞ்சல் பிரச்சாரங்களுடன் தொடர்புடையவர்.
தாக்குதல் வரிசைகளில், இலக்கு வைக்கப்பட்ட நிறுவனங்களுக்கு பதிப்புரிமை மீறல்கள் தொடர்பான சட்ட அச்சுறுத்தல்களை அனுப்ப, இணையதள தொடர்பு படிவங்களைப் பயன்படுத்துவதை உள்ளடக்கியது. இந்தச் செய்திகளுக்குள் உள்ள உட்பொதிக்கப்பட்ட இணைப்புகள், பெறுநர்களை ஏமாற்றும் இணையதளங்களுக்குத் திருப்பிவிடுகின்றன.
லாட்ரோடெக்டஸ் கணினி தரவை குறியாக்கம் செய்து அதை கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திற்கு (C2) அனுப்புகிறது, இது போட் பதிவிறக்கத்திற்கான கோரிக்கையைத் தொடங்குகிறது. போட் C2 உடன் தொடர்பை ஏற்படுத்தியவுடன், அது அதிலிருந்து கட்டளைகளைப் பெறத் தொடர்கிறது.
லாட்ரோடெக்டஸ் மால்வேர் பல ஆக்கிரமிப்பு கட்டளைகளை செயல்படுத்தலாம்
Windows 10 அல்லது அதற்குப் பிறகு இயங்கும் கணினிகளில் செல்லுபடியாகும் MAC முகவரி மற்றும் குறைந்தபட்சம் 75 இயங்கும் செயல்முறைகள் இருப்பதைச் சரிபார்ப்பதன் மூலம் சாண்ட்பாக்ஸ் செய்யப்பட்ட சூழல்களைக் கண்டறியும் திறனை மால்வேர் கொண்டுள்ளது.
IcedID ஐப் போலவே, Latrodectus ஆனது POST கோரிக்கை மூலம் C2 சேவையகத்திற்கு பதிவு விவரங்களை அனுப்ப திட்டமிடப்பட்டுள்ளது, அங்கு புலங்கள் HTTP அளவுருக்களாக இணைக்கப்பட்டு குறியாக்கம் செய்யப்படுகின்றன. பின்னர், இது சர்வரில் இருந்து மேலும் அறிவுறுத்தல்களுக்காக காத்திருக்கிறது. இந்த கட்டளைகள் தீம்பொருளுக்கு கோப்புகள் மற்றும் செயல்முறைகளை கணக்கிடவும், பைனரிகள் மற்றும் DLL கோப்புகளை இயக்கவும், cmd.exe வழியாக தன்னிச்சையான உத்தரவுகளை வழங்கவும், bot ஐ புதுப்பிக்கவும் மற்றும் இயங்கும் செயல்முறைகளை நிறுத்தவும் உதவுகிறது.
தாக்குபவர் உள்கட்டமைப்பை மேலும் ஆய்வு செய்ததில், ஆரம்ப C2 சேவையகங்கள் செப்டம்பர் 18, 2023 அன்று செயல்படத் தொடங்கியது. இந்தச் சேவையகங்கள் ஆகஸ்ட் 2023 இல் நிறுவப்பட்ட அப்ஸ்ட்ரீம் அடுக்கு 2 சேவையகத்துடன் தொடர்பு கொள்ளும் வகையில் கட்டமைக்கப்பட்டுள்ளன.
Latrodectus மற்றும் IcedID ஆகியவற்றுக்கு இடையேயான தொடர்பு, IcedID உடன் இணைக்கப்பட்ட பின்தள உள்கட்டமைப்புடன் T2 சேவையகத்தின் இணைப்புகளிலிருந்தும், முன்பு IcedID செயல்பாடுகளுடன் இணைக்கப்பட்ட ஜம்ப் பாக்ஸ்களைப் பயன்படுத்துவதிலிருந்தும் தெளிவாகத் தெரிகிறது.
கிரிமினல் துறையில் நிதி ரீதியாக ஊக்கமளிக்கும் அச்சுறுத்தல் நடிகர்களால் லாட்ரோடெக்டஸ் பயன்பாடு அதிகரிப்பதை ஆராய்ச்சியாளர்கள் எதிர்பார்க்கிறார்கள், குறிப்பாக முன்பு IcedID ஐ பரப்பியவர்கள்.
