Latrodectus Malware

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ Latrodectus ਨਾਮਕ ਇੱਕ ਨਾਵਲ ਮਾਲਵੇਅਰ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਘੱਟੋ-ਘੱਟ ਨਵੰਬਰ 2023 ਦੇ ਅਖੀਰ ਤੋਂ ਈਮੇਲ ਫਿਸ਼ਿੰਗ ਯਤਨਾਂ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। Latrodectus ਇੱਕ ਉੱਭਰ ਰਹੇ ਡਾਉਨਲੋਡਰ ਦੇ ਤੌਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਸੈਂਡਬੌਕਸ ਚੋਰੀ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ, ਜੋ ਕਿ ਆਰਕਿਊਟ ਪੇਲੋਡਸ ਨੂੰ ਐਕਸਟਿਊਟ ਪੇਲੋਡਸ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਾਵਧਾਨੀ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਅਜਿਹੇ ਸੰਕੇਤ ਹਨ ਜੋ ਇਹ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ ਕਿ ਬਦਨਾਮ IcedID ਮਾਲਵੇਅਰ ਦੇ ਸਿਰਜਣਹਾਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਲੈਟਰੋਡੈਕਟਸ ਦੇ ਵਿਕਾਸ ਦੇ ਪਿੱਛੇ ਹਨ। ਇਸ ਡਾਊਨਲੋਡਰ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਦਲਾਲਾਂ (IABs) ਦੁਆਰਾ ਦੂਜੇ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਲਈ ਨਿਯੁਕਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਲੈਟਰੋਡੈਕਟਸ ਮੁੱਖ ਤੌਰ 'ਤੇ ਦੋ ਵੱਖ-ਵੱਖ ਆਈਏਬੀਜ਼ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਜਿਨ੍ਹਾਂ ਦੀ ਪਛਾਣ TA577 (ਵਾਟਰ ਕਰੁਪੀਰਾ ਵਜੋਂ ਵੀ ਜਾਣੀ ਜਾਂਦੀ ਹੈ) ਅਤੇ TA578 ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਨੋਟ ਕਰੋ, TA577 ਨੂੰ ਕਾਕਬੋਟ ਅਤੇ ਪਿਕਾਬੋਟ ਦੇ ਪ੍ਰਸਾਰਣ ਵਿੱਚ ਵੀ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ।

Latrodectus ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਖ਼ਤਰਿਆਂ ਤੋਂ ਵੱਧ ਹੋ ਸਕਦਾ ਹੈ

ਜਨਵਰੀ 2024 ਦੇ ਅੱਧ ਤੱਕ, Latrodectus ਨੂੰ ਮੁੱਖ ਤੌਰ 'ਤੇ TA578 ਦੁਆਰਾ ਈਮੇਲ-ਅਧਾਰਿਤ ਧਮਕੀ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵਰਤਿਆ ਗਿਆ ਹੈ, ਜੋ ਅਕਸਰ DanaBot ਲਾਗਾਂ ਦੁਆਰਾ ਫੈਲਾਇਆ ਜਾਂਦਾ ਹੈ। TA578, ਘੱਟੋ-ਘੱਟ ਮਈ 2020 ਤੋਂ ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਅਭਿਨੇਤਾ, Ursnif , IcedID , KPOT ਸਟੀਲਰ, Buer Loader , BazaLoader, Cobalt Strike , ਅਤੇ Bumblebee ਵੰਡਣ ਵਾਲੀਆਂ ਵੱਖ-ਵੱਖ ਈਮੇਲ ਮੁਹਿੰਮਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ।

ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸੰਗਠਨਾਂ ਨੂੰ ਕਥਿਤ ਕਾਪੀਰਾਈਟ ਉਲੰਘਣਾਵਾਂ ਸੰਬੰਧੀ ਕਾਨੂੰਨੀ ਧਮਕੀਆਂ ਭੇਜਣ ਲਈ ਵੈੱਬਸਾਈਟ ਸੰਪਰਕ ਫਾਰਮਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਸੁਨੇਹਿਆਂ ਦੇ ਅੰਦਰ ਏਮਬੈਡ ਕੀਤੇ ਲਿੰਕ ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਧੋਖੇਬਾਜ਼ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ, ਉਹਨਾਂ ਨੂੰ msiexec ਦੁਆਰਾ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ JavaScript ਫਾਈਲ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਪ੍ਰੇਰਦੇ ਹਨ।

Latrodectus ਸਿਸਟਮ ਡੇਟਾ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ (C2) ਨੂੰ ਅੱਗੇ ਭੇਜਦਾ ਹੈ, ਬੋਟ ਡਾਊਨਲੋਡ ਲਈ ਬੇਨਤੀ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਬੋਟ C2 ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਇਸ ਤੋਂ ਕਮਾਂਡਾਂ ਮੰਗਣ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ।

ਲੈਟ੍ਰੋਡੈਕਟਸ ਮਾਲਵੇਅਰ ਕਈ ਹਮਲਾਵਰ ਕਮਾਂਡਾਂ ਨੂੰ ਪੂਰਾ ਕਰ ਸਕਦਾ ਹੈ

ਮਾਲਵੇਅਰ ਕੋਲ ਇੱਕ ਵੈਧ MAC ਐਡਰੈੱਸ ਦੀ ਮੌਜੂਦਗੀ ਅਤੇ ਵਿੰਡੋਜ਼ 10 ਜਾਂ ਇਸ ਤੋਂ ਨਵੇਂ ਚੱਲ ਰਹੇ ਸਿਸਟਮਾਂ 'ਤੇ ਘੱਟੋ-ਘੱਟ 75 ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਕੇ ਸੈਂਡਬਾਕਸਡ ਵਾਤਾਵਰਨ ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਸਮਰੱਥਾ ਹੈ।

IcedID ਦੇ ਸਮਾਨ, Latrodectus ਨੂੰ C2 ਸਰਵਰ ਨੂੰ ਇੱਕ POST ਬੇਨਤੀ ਦੁਆਰਾ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਵੇਰਵਿਆਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿੱਥੇ ਖੇਤਰਾਂ ਨੂੰ HTTP ਪੈਰਾਮੀਟਰਾਂ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਇਹ ਸਰਵਰ ਤੋਂ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ। ਇਹ ਕਮਾਂਡਾਂ ਮਾਲਵੇਅਰ ਨੂੰ ਫਾਈਲਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ, ਬਾਈਨਰੀਆਂ ਅਤੇ DLL ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ, cmd.exe ਦੁਆਰਾ ਮਨਮਾਨੇ ਨਿਰਦੇਸ਼ ਜਾਰੀ ਕਰਨ, ਬੋਟ ਨੂੰ ਅਪਡੇਟ ਕਰਨ, ਅਤੇ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਹਮਲਾਵਰ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਹੋਰ ਜਾਂਚ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਸ਼ੁਰੂਆਤੀ C2 ਸਰਵਰ 18 ਸਤੰਬਰ, 2023 ਨੂੰ ਚਾਲੂ ਹੋ ਗਏ ਸਨ। ਇਹਨਾਂ ਸਰਵਰਾਂ ਨੂੰ ਅਗਸਤ 2023 ਦੇ ਆਸਪਾਸ ਸਥਾਪਤ ਕੀਤੇ ਗਏ ਅੱਪਸਟ੍ਰੀਮ ਟੀਅਰ 2 ਸਰਵਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।

Latrodectus ਅਤੇ IcedID ਵਿਚਕਾਰ ਸਬੰਧ IcedID ਨਾਲ ਜੁੜੇ ਬੈਕਐਂਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਨਾਲ T2 ਸਰਵਰ ਦੇ ਕਨੈਕਸ਼ਨਾਂ ਤੋਂ ਸਪੱਸ਼ਟ ਹੁੰਦਾ ਹੈ, ਜੰਪ ਬਾਕਸਾਂ ਦੀ ਵਰਤੋਂ ਦੇ ਨਾਲ ਜੋ ਪਹਿਲਾਂ IcedID ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਅਪਰਾਧਿਕ ਖੇਤਰ ਵਿੱਚ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਲੈਟਰੋਡੈਕਟਸ ਦੀ ਵਰਤੋਂ ਵਿੱਚ ਵਾਧੇ ਦੀ ਉਮੀਦ ਕੀਤੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹ ਜਿਨ੍ਹਾਂ ਨੇ ਪਹਿਲਾਂ IcedID ਦਾ ਪ੍ਰਸਾਰ ਕੀਤਾ ਹੈ।