Latrodectus 恶意软件

安全分析师发现了一种名为 Latrodectus 的新型恶意软件，该恶意软件至少自 2023 年 11 月下旬以来就通过电子邮件网络钓鱼活动进行传播。Latrodectus 是一种新兴的下载器，配备了多种沙盒逃避功能，经过精心设计，可获取有效负载并执行任意命令。

有迹象表明，臭名昭著的IcedID恶意软件的创建者很可能是 Latrodectus 的开发幕后推手。初始访问代理 (IAB) 会使用此下载程序来简化其他恶意软件的部署。

Latrodectus 主要与两种不同的 IAB 相关，这两种 IAB 被确定为 TA577（也称为 Water Curupira）和 TA578。值得注意的是，TA577 也与QakBot和PikaBot的传播有关。

Latrodectus 可能正在取代旧恶意软件威胁

到 2024 年 1 月中旬，TA578 主要在基于电子邮件的威胁活动中使用 Latrodectus，这些活动通常通过DanaBot感染进行传播。TA578 至少自 2020 年 5 月以来就已成为知名攻击者，他参与了各种电子邮件活动，传播了Ursnif 、 IcedID 、 KPOT Stealer、 Buer Loader 、BazaLoader、 Cobalt Strike和Bumblebee 。

攻击序列包括利用网站联系表单向目标组织发送有关所谓版权侵权的法律威胁。这些消息中的嵌入式链接将收件人重定向到欺骗性网站，促使他们下载负责通过 msiexec 启动主要有效载荷的 JavaScript 文件。

Latrodectus 加密系统数据并将其转发到命令和控制服务器 (C2)，从而发起机器人下载请求。一旦机器人与 C2 建立联系，它就会继续向 C2 请求命令。

Latrodectus 恶意软件可能会执行大量侵入性命令

该恶意软件能够通过验证有效 MAC 地址和运行 Windows 10 或更新版本的系统上至少 75 个正在运行的进程来检测沙盒环境。

与 IcedID 类似，Latrodectus 被编程为通过 POST 请求将注册详细信息传输到 C2 服务器，其中字段被连接到 HTTP 参数并加密。随后，它等待来自服务器的进一步指令。这些命令使恶意软件能够枚举文件和进程、执行二进制文件和 DLL 文件、通过 cmd.exe 发出任意指令、更新机器人，甚至终止正在运行的进程。

对攻击者基础设施的进一步审查表明，初始 C2 服务器于 2023 年 9 月 18 日开始运行。这些服务器配置为与 2023 年 8 月左右建立的上游 Tier 2 服务器进行交互。

从 T2 服务器与链接到 IcedID 的后端基础设施的连接，以及之前与 IcedID 操作绑定的跳转箱的使用情况可以看出 Latrodectus 和 IcedID 之间的关联。

研究人员预计，犯罪领域中出于经济动机的威胁行为者对 Latrodectus 的使用将会激增，尤其是那些之前传播过 IcedID 的人。