Latrodectus pahavara

Turvaanalüütikud on avastanud uudse pahavara nimega Latrodectus, mida on levitatud e-kirjade andmepüügi kaudu vähemalt 2023. aasta novembri lõpust. Latrodectus paistab silma areneva allalaadijana, mis on varustatud mitmekesiste liivakastist kõrvalehoidmise võimalustega, mis on hoolikalt loodud suvaliste koormuste toomiseks ja käskude täitmiseks.

On märke, mis viitavad sellele, et Latrodectuse arendamise taga on tõenäoliselt kurikuulsa IcedID pahavara loojad. Seda allalaadijat kasutavad esialgse juurdepääsu vahendajad (IAB-id), et lihtsustada muu ründetarkvara juurutamist.

Latrodectus on valdavalt seotud kahe erineva IAB-ga, identifitseeritakse kui TA577 (tuntud ka kui Water Curupira) ja TA578. Pange tähele, et TA577 on olnud seotud ka QakBoti ja PikaBoti levitamisega.

Latrodectus võib ületada vanemaid pahavaraohte

2024. aasta jaanuari keskpaigaks on TA578 peamiselt kasutanud Latrodectust meilipõhistes ohukampaaniates, mida sageli levitatakse DanaBoti nakkuste kaudu. TA578, tuntud näitleja alates 2020. aasta maist, on olnud seotud erinevate meilikampaaniatega, mis levitavad Ursnifi , IcedID-d , KPOT Stealerit, Buer Loaderit , BazaLoaderit, Cobalt Strike'i ja Bumblebee't .

Ründejärjestused hõlmavad veebisaitide kontaktvormide kasutamist, et saata sihtorganisatsioonidele õiguslikke ähvardusi väidetavate autoriõiguste rikkumiste kohta. Nendes sõnumites olevad manustatud lingid suunavad adressaadid ümber petlikele veebisaitidele, paludes neil alla laadida JavaScripti faili, mis vastutab esmase kasuliku koormuse algatamise eest msiexeci kaudu.

Latrodectus krüpteerib süsteemiandmed ja edastab need käsu- ja juhtimisserverisse (C2), algatades roboti allalaadimise taotluse. Kui bot loob kontakti C2-ga, hakkab ta sellelt käske küsima.

Latrodectuse pahavara võib täita arvukalt invasiivseid käske

Pahavara suudab tuvastada liivakastikeskkondi, kontrollides kehtiva MAC-aadressi olemasolu ja vähemalt 75 töötavat protsessi süsteemides, milles töötab Windows 10 või uuem.

Sarnaselt IcedID-ga on Latrodectus programmeeritud edastama registreerimisandmed POST-päringu kaudu C2-serverile, kus väljad ühendatakse HTTP-parameetritega ja krüpteeritakse. Seejärel ootab see serverilt täiendavaid juhiseid. Need käsud võimaldavad pahavaral loetleda faile ja protsesse, käivitada binaarfaile ja DLL-faile, väljastada suvalisi käske cmd.exe kaudu, värskendada robotit ja isegi lõpetada töötavaid protsesse.

Ründaja infrastruktuuri edasine uurimine näitab, et esialgsed C2-serverid hakkasid tööle 18. septembril 2023. Need serverid on konfigureeritud suhtlema 2023. aasta augusti paiku loodud ülesvoolu 2. taseme serveriga.

Seos Latrodectuse ja IcedID vahel ilmneb T2-serveri ühendustest IcedID-ga seotud taustainfrastruktuuriga ning varem IcedID-toimingutega seotud hüppekastide kasutamisest.

Teadlased eeldavad, et rahaliselt motiveeritud kuritegelikud ohus osalejad kasutavad Latrodectust, eriti need, kes on varem IcedID-d levitanud.