Latrodectus haittaohjelma

Tietoturva-analyytikot ovat löytäneet uuden haittaohjelman nimeltä Latrodectus, jota on levitetty sähköpostien tietojenkalasteluyritysten kautta ainakin marraskuun 2023 lopusta lähtien. Latrodectus erottuu nousevasta latausohjelmasta, joka on varustettu monipuolisilla hiekkalaatikon kiertoominaisuuksilla ja joka on suunniteltu huolellisesti hakemaan hyötykuormia ja suorittamaan mielivaltaisia komentoja.

On viitteitä siitä, että pahamaineisen IcedID- haittaohjelman tekijät ovat todennäköisesti Latrodectuksen kehityksen takana. Alkuperäisen pääsyn välittäjät (IAB:t) käyttävät tätä latausohjelmaa virtaviivaistamaan muiden haittaohjelmien käyttöönottoa.

Latrodectus liittyy pääasiassa kahteen erilliseen IAB:hen, jotka tunnistetaan nimellä TA577 (tunnetaan myös nimellä Water Curupira) ja TA578. Huomionarvoista on, että TA577 on ollut mukana myös QakBotin ja PikaBotin levittämisessä.

Latrodectus saattaa ohittaa vanhemmat haittaohjelmauhat

Tammikuun 2024 puoliväliin mennessä TA578 on käyttänyt pääasiassa Latrodectusta sähköpostipohjaisissa uhkakampanjoissa, jotka leviävät usein DanaBot- infektioiden kautta. TA578, tunnettu näyttelijä ainakin toukokuusta 2020 lähtien, on ollut yhteydessä useisiin sähköpostikampanjoihin, jotka jakavat Ursnifia , IcedID:tä , KPOT Stealeriä, Buer Loaderia , BazaLoaderia, Cobalt Strikea ja Bumblebeeta .

Hyökkäysjaksoissa käytetään verkkosivustojen yhteydenottolomakkeita laillisten uhkien lähettämiseen väitetyistä tekijänoikeusloukkauksista kohdeorganisaatioille. Näissä viesteissä olevat upotetut linkit ohjaavat vastaanottajat harhaanjohtaville verkkosivustoille ja kehottavat heitä lataamaan JavaScript-tiedoston, joka vastaa ensisijaisen hyötykuorman käynnistämisestä msiexecin kautta.

Latrodectus salaa järjestelmätiedot ja välittää ne Command-and-Control-palvelimelle (C2) ja käynnistää pyynnön botin latausta varten. Kun botti muodostaa yhteyden C2:een, se alkaa pyytää komentoja siltä.

Latrodectus-haittaohjelma voi suorittaa lukuisia invasiivisia komentoja

Haittaohjelma pystyy havaitsemaan hiekkalaatikkoympäristöjä varmistamalla kelvollisen MAC-osoitteen ja vähintään 75 käynnissä olevan prosessin olemassaolon järjestelmissä, joissa on Windows 10 tai uudempi.

Kuten IcedID, Latrodectus on ohjelmoitu lähettämään rekisteröintitiedot POST-pyynnön kautta C2-palvelimelle, jossa kentät ketjutetaan HTTP-parametreiksi ja salataan. Sen jälkeen se odottaa lisäohjeita palvelimelta. Nämä komennot antavat haittaohjelmalle valtuudet luetella tiedostoja ja prosesseja, suorittaa binääri- ja DLL-tiedostoja, antaa mielivaltaisia ohjeita cmd.exe:n kautta, päivittää botti ja jopa lopettaa käynnissä olevat prosessit.

Hyökkääjän infrastruktuurin tarkempi tarkastelu paljastaa, että alkuperäiset C2-palvelimet otettiin käyttöön 18. syyskuuta 2023. Nämä palvelimet on määritetty toimimaan vuorovaikutuksessa ylävirran tason 2 palvelimen kanssa, joka perustettiin noin elokuussa 2023.

Latrodectuksen ja IcedID:n välinen yhteys käy ilmi T2-palvelimen yhteyksistä IcedID:hen linkitettyyn taustainfrastruktuuriin sekä aiemmin IcedID-toimintoihin sidottujen hyppylaatikoiden käytöstä.

Tutkijat odottavat, että taloudellisesti motivoituneiden rikollisten uhkatoimijoiden, erityisesti IcedID:n aiemmin levittäneiden toimijoiden, Latrodectuksen käytön lisääntyy.