بدافزار Latrodectus

تحلیلگران امنیتی بدافزار جدیدی به نام Latrodectus را کشف کرده‌اند که حداقل از اواخر نوامبر 2023 از طریق تلاش‌های فیشینگ ایمیل منتشر شده است. Latrodectus به عنوان یک دانلودکننده نوظهور مجهز به قابلیت‌های متنوع فرار از جعبه شنی، که به دقت برای اجرای بارهای دلخواه و دستورات دلخواه ساخته شده است، برجسته است.

نشانه هایی وجود دارد که نشان می دهد سازندگان بدافزار بدنام IcedID احتمالاً پشت توسعه Latrodectus هستند. این دانلود کننده توسط کارگزاران دسترسی اولیه (IABs) برای ساده کردن استقرار سایر نرم افزارهای مخرب استفاده می شود.

Latrodectus عمدتاً با دو IAB مجزا همراه است که به عنوان TA577 (همچنین به عنوان Water Curupira شناخته می شود) و TA578 شناسایی می شود. قابل توجه است که TA577 در انتشار QakBot و PikaBot نیز نقش داشته است.

Latrodectus ممکن است از تهدیدات بدافزارهای قدیمی غلبه کند

تا اواسط ژانویه 2024، Latrodectus عمدتاً توسط TA578 در کمپین‌های تهدید مبتنی بر ایمیل، که اغلب از طریق عفونت‌های DanaBot منتشر می‌شوند، استفاده شده است. TA578، یک بازیگر شناخته شده حداقل از ماه مه 2020، با کمپین های ایمیل مختلفی در توزیع Ursnif ، IcedID ، KPOT Stealer، Buer Loader ، BazaLoader، Cobalt Strike و Bumblebee مرتبط بوده است.

توالی‌های حمله شامل استفاده از فرم‌های تماس وب‌سایت برای ارسال تهدیدات قانونی در رابطه با نقض حق نسخه‌برداری به سازمان‌های هدف است. پیوندهای تعبیه‌شده در این پیام‌ها، گیرندگان را به وب‌سایت‌های فریبنده هدایت می‌کنند، و از آن‌ها می‌خواهند یک فایل جاوا اسکریپت را که مسئول شروع بارگذاری اولیه از طریق msiexec است دانلود کنند.

Latrodectus داده های سیستم را رمزگذاری می کند و آنها را به سرور Command-and-Control (C2) ارسال می کند و درخواست دانلود ربات را آغاز می کند. هنگامی که ربات با C2 ارتباط برقرار می کند، دستورات را از آن درخواست می کند.

بدافزار Latrodectus ممکن است دستورات تهاجمی متعددی را انجام دهد

این بدافزار دارای قابلیت شناسایی محیط های جعبه ایمنی با تأیید وجود یک آدرس MAC معتبر و حداقل 75 فرآیند در حال اجرا در سیستم های دارای ویندوز 10 یا جدیدتر است.

مشابه IcedID، Latrodectus برنامه ریزی شده است تا جزئیات ثبت نام را از طریق یک درخواست POST به سرور C2 منتقل کند، جایی که فیلدها به پارامترهای HTTP متصل شده و رمزگذاری می شوند. متعاقباً، منتظر دستورالعمل های بیشتر از سرور است. این دستورات بدافزار را قادر می‌سازد تا فایل‌ها و پردازش‌ها را شمارش کند، فایل‌های باینری و DLL را اجرا کند، دستورات دلخواه را از طریق cmd.exe صادر کند، ربات را به‌روزرسانی کند و حتی فرآیندهای در حال اجرا را خاتمه دهد.

بررسی بیشتر زیرساخت مهاجم نشان می دهد که سرورهای اولیه C2 در 18 سپتامبر 2023 عملیاتی شدند. این سرورها برای تعامل با یک سرور سطح 2 بالادستی که در اوت 2023 ایجاد شده است پیکربندی شده اند.

ارتباط بین Latrodectus و IcedID از اتصالات سرور T2 با زیرساخت backend مرتبط با IcedID، همراه با استفاده از جعبه‌های پرش که قبلاً به عملیات IcedID مرتبط بودند، مشهود است.

محققان پیش‌بینی می‌کنند که استفاده از Latrodectus توسط عوامل تهدید کننده با انگیزه مالی در قلمرو جنایی، به‌ویژه کسانی که قبلا IcedID را منتشر کرده‌اند، افزایش یابد.