มัลแวร์ Latrodectus

นักวิเคราะห์ความปลอดภัยได้ค้นพบมัลแวร์ตัวใหม่ที่มีชื่อว่า Latrodectus ซึ่งแพร่กระจายผ่านความพยายามฟิชชิ่งทางอีเมลตั้งแต่ปลายเดือนพฤศจิกายนปี 2023 เป็นอย่างน้อย Latrodectus โดดเด่นในฐานะผู้ดาวน์โหลดรายใหม่ที่มาพร้อมกับความสามารถในการหลบเลี่ยงแซนด์บ็อกซ์ที่หลากหลาย ซึ่งได้รับการออกแบบอย่างพิถีพิถันเพื่อดึงข้อมูลเพย์โหลดและดำเนินการคำสั่งตามอำเภอใจ

มีข้อบ่งชี้ที่บ่งบอกว่าผู้สร้างมัลแวร์ IcedID ที่โด่งดังมีแนวโน้มอยู่เบื้องหลังการพัฒนา Latrodectus โปรแกรมดาวน์โหลดนี้ใช้งานโดยโบรกเกอร์การเข้าถึงเบื้องต้น (IAB) เพื่อปรับปรุงการใช้งานซอฟต์แวร์ที่เป็นอันตรายอื่นๆ

Latrodectus มีความเกี่ยวข้องอย่างเด่นชัดกับ IAB สองชนิดที่แตกต่างกัน ซึ่งเรียกว่า TA577 (หรือที่รู้จักในชื่อ Water Curupira) และ TA578 โปรดทราบว่า TA577 มีส่วนเกี่ยวข้องในการเผยแพร่ QakBot และ PikaBot เช่นกัน

Latrodectus อาจเข้ามาแทนที่ภัยคุกคามมัลแวร์รุ่นเก่าๆ

ภายในกลางเดือนมกราคม 2024 Latrodectus ได้ถูกนำไปใช้อย่างแพร่หลายโดย TA578 ในแคมเปญภัยคุกคามทางอีเมล ซึ่งมักแพร่กระจายผ่านการติดไวรัส DanaBot TA578 ซึ่งเป็นนักแสดงที่มีชื่อเสียงตั้งแต่อย่างน้อยในเดือนพฤษภาคม 2563 มีความเกี่ยวข้องกับแคมเปญอีเมลต่างๆ ที่เผยแพร่ Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike และ Bumblebee

ลำดับการโจมตีเกี่ยวข้องกับการใช้ประโยชน์จากแบบฟอร์มติดต่อของเว็บไซต์เพื่อส่งภัยคุกคามทางกฎหมายที่เกี่ยวข้องกับการละเมิดลิขสิทธิ์โดยอ้างว่าไปยังองค์กรเป้าหมาย ลิงก์ที่ฝังอยู่ภายในข้อความเหล่านี้เปลี่ยนเส้นทางผู้รับไปยังเว็บไซต์หลอกลวง แจ้งให้ดาวน์โหลดไฟล์ JavaScript ที่รับผิดชอบในการเริ่มต้นเพย์โหลดหลักผ่าน msiexec

Latrodectus เข้ารหัสข้อมูลระบบและส่งต่อไปยังเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อเริ่มต้นคำขอดาวน์โหลดบอท เมื่อบอทสร้างการติดต่อกับ C2 แล้ว บอทจะดำเนินการร้องขอคำสั่งจากบอท

มัลแวร์ Latrodectus อาจดำเนินการคำสั่งบุกรุกมากมาย

มัลแวร์มีความสามารถในการตรวจจับสภาพแวดล้อมแบบแซนด์บ็อกซ์โดยตรวจสอบการมีอยู่ของที่อยู่ MAC ที่ถูกต้องและกระบวนการที่ทำงานอย่างน้อย 75 กระบวนการบนระบบที่ใช้ Windows 10 หรือใหม่กว่า

เช่นเดียวกับ IcedID Latrodectus ได้รับการตั้งโปรแกรมให้ส่งรายละเอียดการลงทะเบียนผ่านคำขอ POST ไปยังเซิร์ฟเวอร์ C2 โดยที่ฟิลด์ต่างๆ จะต่อกันเป็นพารามิเตอร์ HTTP และเข้ารหัส จากนั้นจะรอคำแนะนำเพิ่มเติมจากเซิร์ฟเวอร์ คำสั่งเหล่านี้ช่วยให้มัลแวร์ระบุไฟล์และกระบวนการ เรียกใช้งานไบนารีและไฟล์ DLL ออกคำสั่งที่กำหนดเองผ่าน cmd.exe อัปเดตบอท และแม้แต่ยุติกระบวนการที่ทำงานอยู่

การตรวจสอบโครงสร้างพื้นฐานของผู้โจมตีเพิ่มเติมพบว่าเซิร์ฟเวอร์ C2 เริ่มแรกเริ่มใช้งานได้ในวันที่ 18 กันยายน 2023 เซิร์ฟเวอร์เหล่านี้ได้รับการกำหนดค่าให้โต้ตอบกับเซิร์ฟเวอร์อัพสตรีมระดับ 2 ที่จัดตั้งขึ้นประมาณเดือนสิงหาคม 2023

ความสัมพันธ์ระหว่าง Latrodectus และ IcedID เห็นได้จากการเชื่อมต่อของเซิร์ฟเวอร์ T2 กับโครงสร้างพื้นฐานแบ็กเอนด์ที่เชื่อมโยงกับ IcedID พร้อมด้วยการใช้กล่องกระโดดที่ก่อนหน้านี้เชื่อมโยงกับการดำเนินการ IcedID

นักวิจัยคาดการณ์ว่าการใช้งาน Latrodectus จะเพิ่มขึ้นอย่างรวดเร็วโดยผู้คุกคามที่มีแรงจูงใจทางการเงินในขอบเขตอาชญากร โดยเฉพาะอย่างยิ่งผู้ที่เคยเผยแพร่ IcedID มาก่อน