Latrodectus Malware

Natuklasan ng mga security analyst ang isang bagong malware na tinawag na Latrodectus, na ipinakalat sa pamamagitan ng email phishing na mga pagsusumikap mula noong huling bahagi ng Nobyembre 2023. Namumukod-tangi si Latrodectus bilang isang umuusbong na downloader na nilagyan ng iba't ibang kakayahan sa pag-iwas sa sandbox, na maingat na ginawa upang kumuha ng mga payload at magsagawa ng mga arbitrary na command.

May mga indikasyon na nagpapahiwatig na ang mga lumikha ng kilalang-kilalang IcedID malware ay malamang na nasa likod ng pagbuo ng Latrodectus. Ang downloader na ito ay ginagamit ng mga initial access broker (IABs) upang i-streamline ang deployment ng iba pang malisyosong software.

Ang Latrodectus ay pangunahing nauugnay sa dalawang natatanging IAB, na kinilala bilang TA577 (kilala rin bilang Water Curupira) at TA578. Tandaan, ang TA577 ay nasangkot din sa pagpapakalat ng QakBot at PikaBot .

Maaaring Naungusan ng Latrodectus ang Mas Luma sa Mga Banta sa Malware

Sa kalagitnaan ng Enero 2024, ang Latrodectus ay higit na ginagamit ng TA578 sa mga kampanyang pagbabanta na nakabatay sa email, na kadalasang ipinakalat sa pamamagitan ng mga impeksyon sa DanaBot . Ang TA578, isang kilalang aktor mula pa noong Mayo 2020, ay nauugnay sa iba't ibang email campaign na namamahagi ng Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike , at Bumblebee .

Ang mga pagkakasunud-sunod ng pag-atake ay nagsasangkot ng pagsasamantala sa mga form sa pakikipag-ugnayan sa website upang magpadala ng mga legal na banta patungkol sa sinasabing mga paglabag sa copyright sa mga target na organisasyon. Ang mga naka-embed na link sa loob ng mga mensaheng ito ay nagre-redirect sa mga tatanggap sa mapanlinlang na mga website, na nag-uudyok sa kanila na mag-download ng JavaScript file na responsable sa pagsisimula ng pangunahing payload sa pamamagitan ng msiexec.

Ini-encrypt ng Latrodectus ang data ng system at ipinapasa ito sa Command-and-Control server (C2), na nagpasimula ng kahilingan para sa pag-download ng bot. Kapag nakipag-ugnayan ang bot sa C2, magpapatuloy ito sa paghingi ng mga utos mula rito.

Ang Latrodectus Malware ay Maaaring Magsagawa ng Maraming Invasive na Utos

Ang malware ay nagtataglay ng kakayahang makakita ng mga sandboxed na kapaligiran sa pamamagitan ng pag-verify ng pagkakaroon ng wastong MAC address at hindi bababa sa 75 na tumatakbong mga proseso sa mga system na tumatakbo sa Windows 10 o mas bago.

Katulad ng IcedID, ang Latrodectus ay naka-program upang magpadala ng mga detalye ng pagpaparehistro sa pamamagitan ng isang POST na kahilingan sa C2 server, kung saan ang mga field ay pinagsama-sama sa mga parameter ng HTTP at naka-encrypt. Kasunod nito, naghihintay ito ng karagdagang mga tagubilin mula sa server. Ang mga utos na ito ay nagbibigay ng kapangyarihan sa malware na magbilang ng mga file at proseso, magsagawa ng mga binary at DLL file, mag-isyu ng mga arbitrary na direktiba sa pamamagitan ng cmd.exe, i-update ang bot, at kahit na wakasan ang mga tumatakbong proseso.

Ang karagdagang pagsusuri sa imprastraktura ng attacker ay nagpapakita na ang mga paunang C2 server ay naging operational noong Setyembre 18, 2023. Ang mga server na ito ay na-configure upang makipag-ugnayan sa isang upstream Tier 2 server na itinatag noong Agosto 2023.

Ang kaugnayan sa pagitan ng Latrodectus at IcedID ay makikita mula sa mga koneksyon ng T2 server na may backend na imprastraktura na naka-link sa IcedID, kasama ang paggamit ng mga jump box na dating nakatali sa mga operasyon ng IcedID.

Inaasahan ng mga mananaliksik ang pagdagsa sa paggamit ng Latrodectus ng mga aktor ng pananakot na may motibasyon sa pananalapi sa larangan ng kriminal, lalo na ang mga dati nang nagpakalat ng IcedID.