Latrodectus 惡意軟體

安全分析師發現了一種名為Latrodectus 的新型惡意軟體，該惡意軟體至少自2023 年11 月下旬以來一直透過電子郵件網路釣魚活動進行傳播。Latrodectus 是一種新興的下載程序，具有多種沙箱規避功能，經過精心設計，可以獲取有效負載並執行任意命令。

有跡象表明，臭名昭著的IcedID惡意軟體的創建者很可能是 Latrodectus 開發的幕後黑手。初始存取代理程式 (IAB) 使用此下載程式來簡化其他惡意軟體的部署。

Latrodectus 主要與兩種不同的 IAB 相關，即 TA577（也稱為 Water Curupira）和 TA578。值得注意的是，TA577 也與QakBot和PikaBot的傳播有關。

Latrodectus 可能會取代較舊的惡意軟體威脅

到 2024 年 1 月中旬，Latrodectus 主要被 TA578 用於基於電子郵件的威脅活動，通常透過DanaBot感染進行傳播。 TA578 至少自 2020 年 5 月起就已成為知名演員，與分發Ursnif 、 IcedID 、 KPOT Stealer、 Buer Loader 、BazaLoader、 Cobalt Strike和Bumblebee 的各種電子郵件活動有關。

攻擊序列涉及利用網站聯絡表單向目標組織發送有關涉嫌侵犯版權的法律威脅。這些訊息中的嵌入連結將收件人重定向到欺騙性網站，提示他們下載負責透過 msiexec 啟動主要有效負載的 JavaScript 檔案。

Latrodectus 加密系統資料並將其轉發到命令和控制伺服器 (C2)，發起機器人下載請求。一旦機器人與 C2 建立聯繫，它就會繼續向 C2 請求命令。

Latrodectus 惡意軟體可能執行大量入侵指令

該惡意軟體能夠透過驗證運行 Windows 10 或更高版本的系統上是否存在有效的 MAC 位址和至少 75 個正在運行的進程來檢測沙盒環境。

與 IcedID 類似，Latrodectus 被編程為透過 POST 請求將註冊詳細資訊傳輸到 C2 伺服器，其中欄位連接成 HTTP 參數並加密。隨後，它等待來自伺服器的進一步指令。這些命令使惡意軟體能夠枚舉檔案和進程、執行二進位和 DLL 檔案、透過 cmd.exe 發出任意指令、更新機器人，甚至終止正在運行的進程。

對攻擊者基礎設施的進一步審查顯示，最初的 C2 伺服器於 2023 年 9 月 18 日開始運作。這些伺服器配置為與 2023 年 8 月左右建立的上游第 2 層伺服器進行互動。

Latrodectus 和 IcedID 之間的關聯從 T2 伺服器與連結到 IcedID 的後端基礎設施的連接以及先前與 IcedID 操作相關的跳線盒的使用中可以明顯看出。

研究人員預計，犯罪領域中出於經濟動機的威脅行為者（尤其是那些先前傳播過 IcedID 的人）對 Latrodectus 的使用將會激增。