Phần mềm độc hại Latrodectus
Các nhà phân tích bảo mật đã phát hiện ra một phần mềm độc hại mới có tên là Latrodectus, được phát tán thông qua các nỗ lực lừa đảo qua email ít nhất là từ cuối tháng 11 năm 2023. Latrodectus nổi bật là một trình tải xuống mới nổi được trang bị khả năng trốn tránh hộp cát đa dạng, được chế tạo tỉ mỉ để tìm nạp tải trọng và thực thi các lệnh tùy ý.
Có nhiều dấu hiệu cho thấy những người tạo ra phần mềm độc hại IcedID khét tiếng có khả năng đứng đằng sau sự phát triển của Latrodectus. Trình tải xuống này được các nhà môi giới truy cập ban đầu (IAB) sử dụng để hợp lý hóa việc triển khai phần mềm độc hại khác.
Latrodectus chủ yếu được liên kết với hai IAB riêng biệt, được xác định là TA577 (còn được gọi là Water Curupira) và TA578. Đáng chú ý, TA577 cũng có liên quan đến việc phổ biến QakBot và PikaBot .
Latrodectus có thể vượt qua các mối đe dọa phần mềm độc hại cũ hơn
Đến giữa tháng 1 năm 2024, Latrodectus chủ yếu được TA578 sử dụng trong các chiến dịch đe dọa dựa trên email, thường được phát tán thông qua lây nhiễm DanaBot . TA578, một diễn viên được biết đến ít nhất từ tháng 5 năm 2020, đã liên kết với nhiều chiến dịch email khác nhau để phân phối Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike và Bumblebee .
Chuỗi tấn công liên quan đến việc khai thác các biểu mẫu liên hệ của trang web để gửi các mối đe dọa pháp lý liên quan đến hành vi vi phạm bản quyền có mục đích đến các tổ chức mục tiêu. Các liên kết nhúng trong các tin nhắn này chuyển hướng người nhận đến các trang web lừa đảo, nhắc họ tải xuống tệp JavaScript chịu trách nhiệm khởi tạo tải trọng chính qua msiexec.
Latrodectus mã hóa dữ liệu hệ thống và chuyển tiếp nó đến máy chủ Chỉ huy và Kiểm soát (C2), bắt đầu yêu cầu tải xuống bot. Sau khi bot thiết lập liên lạc với C2, nó sẽ tiến hành yêu cầu các lệnh từ nó.
Phần mềm độc hại Latrodectus có thể thực hiện nhiều lệnh xâm lấn
Phần mềm độc hại có khả năng phát hiện môi trường hộp cát bằng cách xác minh sự hiện diện của địa chỉ MAC hợp lệ và tối thiểu 75 quy trình đang chạy trên hệ thống chạy Windows 10 trở lên.
Tương tự như IcedID, Latrodectus được lập trình để truyền thông tin đăng ký thông qua yêu cầu POST tới máy chủ C2, nơi các trường được nối thành các tham số HTTP và được mã hóa. Sau đó, nó chờ hướng dẫn thêm từ máy chủ. Các lệnh này trao quyền cho phần mềm độc hại liệt kê các tệp và quy trình, thực thi các tệp nhị phân và tệp DLL, đưa ra các lệnh tùy ý thông qua cmd.exe, cập nhật bot và thậm chí chấm dứt các quy trình đang chạy.
Việc xem xét kỹ hơn cơ sở hạ tầng của kẻ tấn công cho thấy các máy chủ C2 ban đầu đã hoạt động vào ngày 18 tháng 9 năm 2023. Các máy chủ này được định cấu hình để tương tác với máy chủ Cấp 2 ngược dòng được thiết lập vào khoảng tháng 8 năm 2023.
Mối liên hệ giữa Latrodectus và IcedID được thể hiện rõ ràng từ các kết nối của máy chủ T2 với cơ sở hạ tầng phụ trợ được liên kết với IcedID, cùng với việc sử dụng các jump box trước đây được gắn với các hoạt động của IcedID.
Các nhà nghiên cứu dự đoán sự gia tăng sử dụng Latrodectus của các tác nhân đe dọa có động cơ tài chính trong lĩnh vực tội phạm, đặc biệt là những kẻ trước đây đã phát tán IcedID.
