Latrodectus Malware

Els analistes de seguretat han descobert un nou programari maliciós anomenat Latrodectus, que s'ha difós per correu electrònic des de finals de novembre de 2023, com a mínim.

Hi ha indicis que impliquen que els creadors del famós programari maliciós IcedID probablement estan darrere del desenvolupament de Latrodectus. Els intermediaris d'accés inicial (IAB) utilitzen aquest descarregador per agilitzar el desplegament d'altres programaris maliciosos.

Latrodectus s'associa principalment amb dos IAB diferents, identificats com TA577 (també conegut com Water Curupira) i TA578. Cal destacar que TA577 també ha estat implicat en la difusió de QakBot i PikaBot .

Latrodectus pot estar superant les amenaces de programari maliciós més antigues

A mitjans de gener de 2024, TA578 ha utilitzat principalment Latrodectus en campanyes d'amenaces basades en correu electrònic, sovint difoses a través d'infeccions de DanaBot . TA578, un actor conegut des d'almenys el maig de 2020, s'ha associat amb diverses campanyes de correu electrònic que distribueixen Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike i Bumblebee .

Les seqüències d'atac impliquen l'explotació de formularis de contacte del lloc web per enviar amenaces legals sobre presumptes violacions dels drets d'autor a les organitzacions objectiu. Els enllaços incrustats dins d'aquests missatges redirigeixen els destinataris a llocs web enganyosos, demanant-los que baixin un fitxer JavaScript responsable d'iniciar la càrrega útil principal mitjançant msiexec.

Latrodectus xifra les dades del sistema i les reenvia al servidor Command-and-Control (C2), iniciant una sol·licitud de descàrrega de bot. Una vegada que el bot estableix contacte amb el C2, procedeix a sol·licitar-li ordres.

El programari maliciós Latrodectus pot dur a terme nombroses ordres invasives

El programari maliciós té la capacitat de detectar entorns de sorra verificant la presència d'una adreça MAC vàlida i un mínim de 75 processos en execució en sistemes amb Windows 10 o posterior.

De manera similar a IcedID, Latrodectus està programat per transmetre els detalls del registre mitjançant una sol·licitud POST al servidor C2, on els camps es concatenen en paràmetres HTTP i es xifren. Posteriorment, espera més instruccions del servidor. Aquestes ordres permeten al programari maliciós enumerar fitxers i processos, executar fitxers binaris i DLL, emetre directives arbitràries mitjançant cmd.exe, actualitzar el bot i, fins i tot, finalitzar els processos en execució.

Un escrutini més detallat de la infraestructura de l'atacant revela que els servidors C2 inicials van entrar en funcionament el 18 de setembre de 2023. Aquests servidors estan configurats per interactuar amb un servidor de nivell 2 amunt establert cap a l'agost de 2023.

L'associació entre Latrodectus i IcedID és evident a partir de les connexions del servidor T2 amb la infraestructura de backend vinculada a IcedID, juntament amb la utilització de caixes de salt prèviament vinculades a les operacions IcedID.

Els investigadors preveuen un augment de l'ús de Latrodectus per part d'actors d'amenaça motivats econòmicament en l'àmbit criminal, especialment aquells que han difós IcedID anteriorment.