Latrodectus Malware

নিরাপত্তা বিশ্লেষকরা Latrodectus নামে একটি অভিনব ম্যালওয়্যার উন্মোচন করেছেন, যেটি অন্তত নভেম্বর 2023 সালের শেষের দিক থেকে ইমেল ফিশিং প্রচেষ্টার মাধ্যমে প্রচারিত হয়েছে। Latrodectus একটি উদীয়মান ডাউনলোডার হিসাবে দাঁড়িয়েছে যা বিভিন্ন স্যান্ডবক্স ফাঁকি দেওয়ার ক্ষমতা দিয়ে সজ্জিত, সতর্কতার সাথে পে-লোড ট্রাকে কমান্ড আনার জন্য তৈরি করা হয়েছে।

এমন ইঙ্গিত রয়েছে যে ইঙ্গিত করে যে কুখ্যাত IcedID ম্যালওয়্যারের নির্মাতারা Latrodectus এর বিকাশের পিছনে রয়েছে। অন্যান্য দূষিত সফ্টওয়্যার স্থাপনকে স্ট্রীমলাইন করার জন্য এই ডাউনলোডারটিকে প্রাথমিক অ্যাক্সেস ব্রোকার (IABs) দ্বারা নিযুক্ত করা হয়।

ল্যাট্রোডেক্টাস প্রধানত দুটি স্বতন্ত্র IAB-এর সাথে যুক্ত, যা TA577 (Water Curupira নামেও পরিচিত) এবং TA578 হিসাবে চিহ্নিত। উল্লেখ্য, TA577 QakBot এবং PikaBot- এর প্রচারেও জড়িত।

ল্যাট্রোডেক্টাস পুরানো ম্যালওয়্যার হুমকির উপর প্রভাব ফেলতে পারে

2024 সালের জানুয়ারী মাসের মাঝামাঝি, Latrodectus প্রধানত TA578 দ্বারা ইমেল-ভিত্তিক হুমকি প্রচারে ব্যবহার করা হয়েছে, প্রায়ই ডানাবট সংক্রমণের মাধ্যমে ছড়িয়ে পড়ে। TA578, অন্তত মে 2020 থেকে একজন পরিচিত অভিনেতা, Ursnif , IcedID , KPOT Stealer , Buer Loader , BazaLoader , Cobalt Strike , এবং Bumblebee বিতরণকারী বিভিন্ন ইমেল প্রচারের সাথে যুক্ত।

আক্রমণের ক্রমগুলি লক্ষ্যযুক্ত সংস্থাগুলিতে কথিত কপিরাইট লঙ্ঘন সম্পর্কিত আইনি হুমকি পাঠানোর জন্য ওয়েবসাইট যোগাযোগের ফর্মগুলিকে কাজে লাগানো জড়িত৷ এই বার্তাগুলির মধ্যে এম্বেড করা লিঙ্কগুলি প্রাপকদের প্রতারণামূলক ওয়েবসাইটগুলিতে পুনঃনির্দেশিত করে, তাদের একটি জাভাস্ক্রিপ্ট ফাইল ডাউনলোড করতে অনুরোধ করে যা msiexec এর মাধ্যমে প্রাথমিক পেলোড শুরু করার জন্য দায়ী৷

Latrodectus সিস্টেম ডেটা এনক্রিপ্ট করে এবং এটিকে কমান্ড-এন্ড-কন্ট্রোল সার্ভারে (C2) ফরোয়ার্ড করে, বট ডাউনলোডের জন্য একটি অনুরোধ শুরু করে। একবার বট C2 এর সাথে যোগাযোগ স্থাপন করে, এটি তার কাছ থেকে আদেশের জন্য এগিয়ে যায়।

ল্যাট্রোডেক্টাস ম্যালওয়্যার অসংখ্য আক্রমণাত্মক কমান্ড বহন করতে পারে

ম্যালওয়্যারটি একটি বৈধ MAC ঠিকানার উপস্থিতি যাচাই করে স্যান্ডবক্সযুক্ত পরিবেশ শনাক্ত করার ক্ষমতা রাখে এবং Windows 10 বা তার পরবর্তী চলমান সিস্টেমে ন্যূনতম 75টি চলমান প্রক্রিয়া রয়েছে৷

IcedID-এর মতো, Latrodectus-কে একটি POST অনুরোধের মাধ্যমে C2 সার্ভারে নিবন্ধনের বিশদ প্রেরণ করার জন্য প্রোগ্রাম করা হয়েছে, যেখানে ক্ষেত্রগুলিকে HTTP প্যারামিটারে সংযুক্ত করা হয় এবং এনক্রিপ্ট করা হয়। পরবর্তীকালে, এটি সার্ভার থেকে আরও নির্দেশের জন্য অপেক্ষা করছে। এই কমান্ডগুলি ম্যালওয়্যারকে ফাইল এবং প্রক্রিয়াগুলি গণনা করতে, বাইনারি এবং DLL ফাইলগুলি চালাতে, cmd.exe এর মাধ্যমে নির্বিচারে নির্দেশ জারি করতে, বট আপডেট করতে এবং এমনকি চলমান প্রক্রিয়াগুলি বন্ধ করতে সক্ষম করে।

আক্রমণকারী পরিকাঠামোর আরও যাচাই-বাছাই থেকে জানা যায় যে প্রাথমিক C2 সার্ভারগুলি সেপ্টেম্বর 18, 2023-এ চালু হয়েছিল। এই সার্ভারগুলি আগস্ট 2023 সালের দিকে প্রতিষ্ঠিত একটি আপস্ট্রিম টিয়ার 2 সার্ভারের সাথে ইন্টারঅ্যাক্ট করার জন্য কনফিগার করা হয়েছে।

Latrodectus এবং IcedID এর মধ্যে সম্পর্ক IcedID এর সাথে যুক্ত ব্যাকএন্ড পরিকাঠামোর সাথে T2 সার্ভারের সংযোগ থেকে স্পষ্ট হয়, এর সাথে IcedID অপারেশনের সাথে পূর্বে আবদ্ধ জাম্প বক্সের ব্যবহার।

গবেষকরা অপরাধ জগতের আর্থিকভাবে অনুপ্রাণিত হুমকি অভিনেতাদের দ্বারা Latrodectus ব্যবহার বৃদ্ধির প্রত্যাশা করছেন, বিশেষ করে যারা পূর্বে IcedID প্রচার করেছেন।