Latrodectus skadelig programvare

Sikkerhetsanalytikere har avdekket en ny skadelig programvare kalt Latrodectus, som har blitt sirkulert gjennom phishing-forsøk på e-post siden minst slutten av november 2023. Latrodectus skiller seg ut som en ny nedlaster utstyrt med forskjellige sandkasseunnvikelsesmuligheter, omhyggelig laget for å hente nyttelaster og utføre vilkårlige kommandoer.

Det er indikasjoner som tyder på at skaperne av den beryktede IcedID- malwaren sannsynligvis står bak utviklingen av Latrodectus. Denne nedlasteren brukes av innledende tilgangsmeglere (IAB) for å strømlinjeforme distribusjonen av annen skadelig programvare.

Latrodectus er hovedsakelig assosiert med to distinkte IABer, identifisert som TA577 (også kjent som Water Curupira) og TA578. Merk at TA577 også har vært involvert i spredningen av QakBot og PikaBot .

Latrodectus kan erstatte eldre trusler mot skadelig programvare

I midten av januar 2024 har Latrodectus hovedsakelig blitt brukt av TA578 i e-postbaserte trusselkampanjer, ofte spredt gjennom DanaBot- infeksjoner. TA578, en kjent skuespiller siden minst mai 2020, har vært assosiert med forskjellige e-postkampanjer som distribuerer Ursnif , IcedID , KPOT Stealer , Buer Loader , BazaLoader , Cobalt Strike og Bumblebee .

Angrepssekvensene involverer å utnytte nettsidens kontaktskjemaer for å sende juridiske trusler angående påståtte brudd på opphavsretten til målrettede organisasjoner. Innebygde lenker i disse meldingene omdirigerer mottakere til villedende nettsteder, og ber dem om å laste ned en JavaScript-fil som er ansvarlig for å starte den primære nyttelasten via msiexec.

Latrodectus krypterer systemdata og videresender dem til Command-and-Control-serveren (C2), og starter en forespørsel om bot-nedlasting. Når boten etablerer kontakt med C2, fortsetter den med å be om kommandoer fra den.

Latrodectus Malware kan utføre en rekke invasive kommandoer

Skadevaren har evnen til å oppdage sandkassemiljøer ved å verifisere tilstedeværelsen av en gyldig MAC-adresse og minimum 75 kjørende prosesser på systemer som kjører Windows 10 eller nyere.

I likhet med IcedID er Latrodectus programmert til å overføre registreringsdetaljer via en POST-forespørsel til C2-serveren, hvor feltene er sammenkoblet til HTTP-parametere og kryptert. Deretter venter den på ytterligere instruksjoner fra serveren. Disse kommandoene gir skadelig programvare mulighet til å telle opp filer og prosesser, kjøre binærfiler og DLL-filer, utstede vilkårlige direktiver via cmd.exe, oppdatere boten og til og med avslutte kjørende prosesser.

Ytterligere gransking av angriperinfrastrukturen avslører at de første C2-serverne ble operative 18. september 2023. Disse serverne er konfigurert til å samhandle med en oppstrøms Tier 2-server etablert rundt august 2023.

Sammenhengen mellom Latrodectus og IcedID er tydelig fra T2-serverens forbindelser med backend-infrastruktur knyttet til IcedID, sammen med bruken av jump-bokser som tidligere var knyttet til IcedID-operasjoner.

Forskere forventer en økning i Latrodectus-bruken av økonomisk motiverte trusselaktører i det kriminelle riket, spesielt de som tidligere har spredt IcedID.