Latrodectus Malware

Sikkerhedsanalytikere har afsløret en ny malware kaldet Latrodectus, som er blevet cirkuleret gennem e-mail-phishing-bestræbelser siden mindst slutningen af november 2023. Latrodectus skiller sig ud som en spirende downloader udstyret med forskellige sandkasseunddragelsesfunktioner, omhyggeligt udformet til at hente nyttelaster og udføre vilkårlige kommandoer.

Der er indikationer, der tyder på, at skaberne af den berygtede IcedID malware sandsynligvis står bag udviklingen af Latrodectus. Denne downloader er ansat af initial access brokers (IAB'er) til at strømline implementeringen af anden skadelig software.

Latrodectus er overvejende forbundet med to forskellige IAB'er, identificeret som TA577 (også kendt som Water Curupira) og TA578. Bemærk, at TA577 også er blevet impliceret i formidlingen af QakBot og PikaBot .

Latrodectus kan afløse ældre trusler mod malware

I midten af januar 2024 var Latrodectus overvejende blevet brugt af TA578 i e-mail-baserede trusselkampagner, ofte spredt gennem DanaBot- infektioner. TA578, en kendt skuespiller siden mindst maj 2020, har været forbundet med forskellige e-mail-kampagner, der distribuerer Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike og Bumblebee .

Angrebssekvenserne involverer udnyttelse af webstedskontaktformularer til at sende juridiske trusler vedrørende påståede ophavsretskrænkelser til målrettede organisationer. Indlejrede links i disse meddelelser omdirigerer modtagere til vildledende websteder, hvilket beder dem om at downloade en JavaScript-fil, der er ansvarlig for at starte den primære nyttelast via msiexec.

Latrodectus krypterer systemdata og videresender dem til Command-and-Control-serveren (C2) og starter en anmodning om bot-download. Når botten etablerer kontakt med C2, fortsætter den med at anmode om kommandoer fra den.

Latrodectus Malware kan udføre adskillige invasive kommandoer

Malwaren har evnen til at detektere miljøer med sandkasse ved at verificere tilstedeværelsen af en gyldig MAC-adresse og minimum 75 kørende processer på systemer, der kører Windows 10 eller nyere.

I lighed med IcedID er Latrodectus programmeret til at sende registreringsdetaljer via en POST-anmodning til C2-serveren, hvor felterne sammenkædes til HTTP-parametre og krypteres. Efterfølgende afventer den yderligere instruktioner fra serveren. Disse kommandoer giver malwaren mulighed for at opregne filer og processer, udføre binære filer og DLL-filer, udstede vilkårlige direktiver via cmd.exe, opdatere botten og endda afslutte kørende processer.

Yderligere undersøgelse af angriberinfrastrukturen afslører, at de første C2-servere blev operationelle den 18. september 2023. Disse servere er konfigureret til at interagere med en upstream Tier 2-server etableret omkring august 2023.

Sammenhængen mellem Latrodectus og IcedID er tydelig fra T2-serverens forbindelser med backend-infrastruktur knyttet til IcedID, sammen med brugen af jump-bokse, der tidligere var knyttet til IcedID-operationer.

Forskere forventer en stigning i Latrodectus-brugen af økonomisk motiverede trusselsaktører i det kriminelle område, især dem, der tidligere har spredt IcedID.