Latrodectus Malware

Анализаторите по сигурността откриха нов злонамерен софтуер, наречен Latrodectus, който се разпространява чрез имейли за фишинг поне от края на ноември 2023 г. Latrodectus се откроява като нововъзникващ инструмент за изтегляне, оборудван с разнообразни възможности за избягване на пясъчна среда, щателно изработен за извличане на полезни товари и изпълнение на произволни команди.

Има индикации, че създателите на прословутия зловреден софтуер IcedID вероятно стоят зад разработката на Latrodectus. Този инструмент за изтегляне се използва от брокери за първоначален достъп (IAB) за рационализиране на внедряването на друг злонамерен софтуер.

Latrodectus се свързва предимно с два различни IAB, идентифицирани като TA577 (известен също като Water Curupira) и TA578. Трябва да се отбележи, че TA577 е замесен и в разпространението на QakBot и PikaBot .

Latrodectus може да замества по-старите заплахи от зловреден софтуер

До средата на януари 2024 г. Latrodectus е използван предимно от TA578 в кампании за заплахи, базирани на имейл, често разпространявани чрез инфекции с DanaBot . TA578, известен актьор поне от май 2020 г., е свързан с различни имейл кампании, разпространяващи Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike и Bumblebee .

Последователностите от атаки включват използване на формуляри за контакт на уебсайтове за изпращане на правни заплахи относно предполагаеми нарушения на авторски права до целеви организации. Вградените връзки в тези съобщения пренасочват получателите към измамни уебсайтове, подканвайки ги да изтеглят JavaScript файл, отговорен за инициирането на основния полезен товар чрез msiexec.

Latrodectus криптира системните данни и ги препраща към сървъра за командване и управление (C2), инициирайки заявка за изтегляне на бот. След като ботът установи контакт с C2, той продължава да изисква команди от него.

Зловреден софтуер Latrodectus може да изпълнява множество инвазивни команди

Злонамереният софтуер притежава способността да открива среди в пясъчна среда, като проверява наличието на валиден MAC адрес и минимум 75 работещи процеса на системи, работещи под Windows 10 или по-нови.

Подобно на IcedID, Latrodectus е програмиран да предава регистрационни данни чрез POST заявка към C2 сървъра, където полетата се свързват в HTTP параметри и се криптират. Впоследствие той очаква допълнителни инструкции от сървъра. Тези команди дават възможност на злонамерения софтуер да изброява файлове и процеси, да изпълнява двоични и DLL файлове, да издава произволни директиви чрез cmd.exe, да актуализира бота и дори да прекратява работещи процеси.

По-нататъшното изследване на атакуващата инфраструктура разкрива, че първоначалните C2 сървъри са започнали да функционират на 18 септември 2023 г. Тези сървъри са конфигурирани да взаимодействат със сървър от Tier 2 нагоре по веригата, създаден около август 2023 г.

Връзката между Latrodectus и IcedID е очевидна от връзките на T2 сървъра с бекенд инфраструктурата, свързана с IcedID, заедно с използването на кутии за прескачане, свързани преди това с операции на IcedID.

Изследователите очакват нарастване на употребата на Latrodectus от финансово мотивирани заплахи в престъпната сфера, особено тези, които преди това са разпространявали IcedID.