Latrodectus Malware

Аналітики безпеки виявили нове зловмисне програмне забезпечення під назвою Latrodectus, яке поширювалося через фішингові електронні листи принаймні з кінця листопада 2023 року. Latrodectus виділяється як новий завантажувач, оснащений різноманітними можливостями ухилення від пісочниці, ретельно розроблених для отримання корисних даних і виконання довільних команд.

Є вказівки на те, що за розробкою Latrodectus, ймовірно, стоять творці сумнозвісного шкідливого ПЗ IcedID . Цей завантажувач використовується посередниками початкового доступу (IAB) для спрощення розгортання іншого шкідливого програмного забезпечення.

Latrodectus переважно асоціюється з двома різними IAB, ідентифікованими як TA577 (також відомий як Water Curupira) і TA578. Слід зазначити, що TA577 також був причетний до розповсюдження QakBot і PikaBot .

Latrodectus може замінити старі загрози зловмисного програмного забезпечення

До середини січня 2024 року Latrodectus переважно використовувався TA578 у кампаніях із загрозами електронною поштою, які часто поширювалися через зараження DanaBot . TA578, відомий актор принаймні з травня 2020 року, був пов’язаний з різними електронними кампаніями, що розповсюджували Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike і Bumblebee .

Послідовності атак включають використання контактних форм веб-сайтів для надсилання правових погроз щодо передбачуваних порушень авторських прав цільовим організаціям. Вбудовані посилання в цих повідомленнях перенаправляють одержувачів на оманливі веб-сайти, пропонуючи їм завантажити файл JavaScript, відповідальний за ініціювання основного корисного навантаження через msiexec.

Latrodectus шифрує системні дані та пересилає їх на сервер командування та керування (C2), ініціюючи запит на завантаження бота. Коли бот встановлює контакт із C2, він починає запитувати від нього команди.

Зловмисне програмне забезпечення Latrodectus може виконувати численні інвазивні команди

Зловмисне програмне забезпечення має здатність виявляти середовища ізольованого програмного середовища, перевіряючи наявність дійсної MAC-адреси та щонайменше 75 запущених процесів у системах під керуванням Windows 10 або новіших версій.

Подібно до IcedID, Latrodectus запрограмовано на передачу реєстраційних даних через запит POST на сервер C2, де поля об’єднуються в параметри HTTP та шифруються. Згодом він очікує подальших інструкцій від сервера. Ці команди дозволяють зловмисному програмному забезпеченню перераховувати файли та процеси, виконувати двійкові файли та файли DLL, видавати довільні директиви через cmd.exe, оновлювати бота та навіть завершувати запущені процеси.

Подальший аналіз інфраструктури зловмисників показує, що початкові сервери C2 запрацювали 18 вересня 2023 року. Ці сервери налаштовані на взаємодію з вищестоящим сервером рівня 2, створеним приблизно в серпні 2023 року.

Зв’язок між Latrodectus і IcedID очевидний із з’єднань сервера T2 із серверною інфраструктурою, пов’язаною з IcedID, разом із використанням вікон переходу, які раніше були пов’язані з операціями IcedID.

Дослідники очікують сплеску використання Latrodectus фінансово вмотивованими злочинними діячами, особливо тими, хто раніше поширював IcedID.