Latrodectus Malware

భద్రతా విశ్లేషకులు Latrodectus అని పిలవబడే ఒక నవల మాల్వేర్‌ను కనుగొన్నారు, ఇది కనీసం నవంబర్ 2023 నుండి ఇమెయిల్ ఫిషింగ్ ప్రయత్నాల ద్వారా పంపిణీ చేయబడింది. Latrodectus విభిన్నమైన శాండ్‌బాక్స్ ఎగవేత సామర్థ్యాలతో కూడిన అభివృద్ధి చెందుతున్న డౌన్‌లోడ్‌గా నిలుస్తుంది.

లాట్రోడెక్టస్‌ను అభివృద్ధి చేయడం వెనుక అపఖ్యాతి పాలైన IcedID మాల్వేర్ సృష్టికర్తలు ఉన్నారని సూచించే సూచనలు ఉన్నాయి. ఇతర హానికరమైన సాఫ్ట్‌వేర్ విస్తరణను క్రమబద్ధీకరించడానికి ఈ డౌన్‌లోడ్‌దారుని ప్రారంభ యాక్సెస్ బ్రోకర్లు (IABలు) ఉపయోగిస్తున్నారు.

లాట్రోడెక్టస్ ప్రధానంగా రెండు విభిన్న IABలతో అనుబంధం కలిగి ఉంది, TA577 (వాటర్ కురుపిరా అని కూడా పిలుస్తారు) మరియు TA578గా గుర్తించబడింది. గమనించదగ్గ విషయం ఏమిటంటే, TA577 QakBot మరియు PikaBot యొక్క వ్యాప్తిలో కూడా చిక్కుకుంది.

లాట్రోడెక్టస్ పాత మాల్వేర్ బెదిరింపులను అధిగమించవచ్చు

జనవరి 2024 మధ్య నాటికి, Latrodectus ప్రధానంగా TA578 ద్వారా ఇమెయిల్-ఆధారిత ముప్పు ప్రచారాలలో ఉపయోగించబడింది, తరచుగా DanaBot ఇన్ఫెక్షన్ల ద్వారా వ్యాప్తి చెందుతుంది. TA578, కనీసం మే 2020 నుండి తెలిసిన నటుడు, Ursnif , IcedID , KPOT స్టీలర్, Buer Loader , BazaLoader, Cobalt Strike మరియు Bumblebee పంపిణీ చేసే వివిధ ఇమెయిల్ ప్రచారాలతో అనుబంధం కలిగి ఉన్నారు.

దాడి సన్నివేశాలు లక్ష్యంగా ఉన్న సంస్థలకు ఉద్దేశించిన కాపీరైట్ ఉల్లంఘనలకు సంబంధించిన చట్టపరమైన బెదిరింపులను పంపడానికి వెబ్‌సైట్ సంప్రదింపు ఫారమ్‌లను ఉపయోగించుకుంటాయి. ఈ సందేశాలలో పొందుపరిచిన లింక్‌లు గ్రహీతలను మోసపూరిత వెబ్‌సైట్‌లకు దారి మళ్లిస్తాయి, msiexec ద్వారా ప్రాథమిక పేలోడ్‌ను ప్రారంభించడానికి బాధ్యత వహించే JavaScript ఫైల్‌ను డౌన్‌లోడ్ చేయమని వారిని ప్రేరేపిస్తుంది.

లాట్రోడెక్టస్ సిస్టమ్ డేటాను గుప్తీకరిస్తుంది మరియు బాట్ డౌన్‌లోడ్ కోసం అభ్యర్థనను ప్రారంభిస్తూ కమాండ్-అండ్-కంట్రోల్ సర్వర్ (C2)కి ఫార్వార్డ్ చేస్తుంది. బోట్ C2తో పరిచయాన్ని ఏర్పరుచుకున్న తర్వాత, అది దాని నుండి ఆదేశాలను అభ్యర్థిస్తుంది.

Latrodectus మాల్వేర్ అనేక ఇన్వాసివ్ ఆదేశాలను అమలు చేయవచ్చు

చెల్లుబాటు అయ్యే MAC చిరునామా ఉనికిని ధృవీకరించడం ద్వారా శాండ్‌బాక్స్డ్ ఎన్విరాన్‌మెంట్‌లను గుర్తించే సామర్థ్యాన్ని మాల్వేర్ కలిగి ఉంది మరియు Windows 10 లేదా అంతకంటే కొత్త సిస్టమ్‌లలో కనీసం 75 రన్నింగ్ ప్రాసెస్‌లు ఉన్నాయి.

IcedID మాదిరిగానే, లాట్రోడెక్టస్ నమోదు వివరాలను POST అభ్యర్థన ద్వారా C2 సర్వర్‌కు ప్రసారం చేయడానికి ప్రోగ్రామ్ చేయబడింది, ఇక్కడ ఫీల్డ్‌లు HTTP పారామీటర్‌లుగా మరియు గుప్తీకరించబడతాయి. తదనంతరం, ఇది సర్వర్ నుండి తదుపరి సూచనల కోసం వేచి ఉంది. ఈ ఆదేశాలు ఫైల్‌లు మరియు ప్రాసెస్‌లను లెక్కించడానికి, బైనరీలు మరియు DLL ఫైల్‌లను అమలు చేయడానికి, cmd.exe ద్వారా ఏకపక్ష ఆదేశాలను జారీ చేయడానికి, బాట్‌ను నవీకరించడానికి మరియు నడుస్తున్న ప్రక్రియలను ముగించడానికి మాల్వేర్‌కు అధికారం ఇస్తాయి.

అటాకర్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ని మరింత పరిశీలిస్తే, ప్రారంభ C2 సర్వర్‌లు సెప్టెంబర్ 18, 2023న పనిచేశాయని వెల్లడైంది. ఈ సర్వర్‌లు ఆగస్టు 2023లో ఏర్పాటు చేయబడిన అప్‌స్ట్రీమ్ టైర్ 2 సర్వర్‌తో ఇంటరాక్ట్ అయ్యేలా కాన్ఫిగర్ చేయబడ్డాయి.

లాట్రోడెక్టస్ మరియు IcedID మధ్య అనుబంధం IcedIDకి అనుసంధానించబడిన బ్యాకెండ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌తో T2 సర్వర్ కనెక్షన్‌ల నుండి, అలాగే గతంలో IcedID కార్యకలాపాలతో ముడిపడి ఉన్న జంప్ బాక్స్‌ల వినియోగంతో స్పష్టంగా కనిపిస్తుంది.

క్రిమినల్ రంగంలో ఆర్థికంగా ప్రేరేపించబడిన ముప్పు నటులు, ముఖ్యంగా ఇంతకుముందు IcedIDని వ్యాప్తి చేసిన వారిచే లాట్రోడెక్టస్ వినియోగంలో పెరుగుదలను పరిశోధకులు అంచనా వేస్తున్నారు.