Latrodectus Kötü Amaçlı Yazılımı

Güvenlik analistleri, en azından Kasım 2023'ün sonlarından bu yana e-posta kimlik avı çabaları aracılığıyla dolaşan Latrodectus adlı yeni bir kötü amaçlı yazılımı ortaya çıkardı. Latrodectus, çeşitli sanal alandan kaçınma yetenekleriyle donatılmış, yükleri almak ve rastgele komutları yürütmek için titizlikle tasarlanmış, yeni ortaya çıkan bir indirici olarak öne çıkıyor.

Latrodectus'un geliştirilmesinin arkasında muhtemelen kötü şöhretli IcedID kötü amaçlı yazılımının yaratıcılarının olduğunu gösteren göstergeler var. Bu indirici, diğer kötü amaçlı yazılımların dağıtımını kolaylaştırmak için ilk erişim aracıları (IAB'ler) tarafından kullanılır.

Latrodectus ağırlıklı olarak TA577 (Water Curupira olarak da bilinir) ve TA578 olarak tanımlanan iki farklı IAB ile ilişkilidir. TA577'nin QakBot ve PikaBot'un yayılmasında da rol oynadığı dikkate alınmalıdır.

Latrodectus Eski Kötü Amaçlı Yazılım Tehditlerinin Üstünde Olabilir

Ocak 2024'ün ortalarına gelindiğinde Latrodectus, TA578 tarafından çoğunlukla DanaBot enfeksiyonları yoluyla yayılan e-posta tabanlı tehdit kampanyalarında kullanıldı. En azından Mayıs 2020'den beri bilinen bir aktör olan TA578, Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike ve Bumblebee dağıtımını yapan çeşitli e-posta kampanyalarıyla ilişkilendirilmiştir.

Saldırı dizileri, hedeflenen kuruluşlara telif hakkı ihlalleri iddiasıyla ilgili yasal tehditler göndermek için web sitesi iletişim formlarından yararlanmayı içeriyor. Bu mesajların içindeki gömülü bağlantılar, alıcıları yanıltıcı web sitelerine yönlendirerek, msiexec yoluyla birincil veriyi başlatmaktan sorumlu bir JavaScript dosyasını indirmelerini ister.

Latrodectus, sistem verilerini şifreler ve bunu Komuta ve Kontrol sunucusuna (C2) ileterek bot indirme isteği başlatır. Bot, C2 ile temas kurduğunda ondan komutlar istemeye devam ediyor.

Latrodectus Kötü Amaçlı Yazılımı Çok Sayıda İstilacı Komut Gerçekleştirebilir

Kötü amaçlı yazılım, Windows 10 veya daha yenisini çalıştıran sistemlerde geçerli bir MAC adresinin ve en az 75 çalışan işlemin varlığını doğrulayarak korumalı alan ortamlarını tespit etme yeteneğine sahiptir.

IcedID'ye benzer şekilde Latrodectus, kayıt ayrıntılarını bir POST isteği yoluyla C2 sunucusuna iletecek şekilde programlanmıştır; burada alanlar HTTP parametreleri halinde birleştirilir ve şifrelenir. Daha sonra sunucudan gelecek talimatları bekler. Bu komutlar, kötü amaçlı yazılımın dosyaları ve işlemleri numaralandırmasına, ikili dosyaları ve DLL dosyalarını yürütmesine, cmd.exe aracılığıyla rastgele yönergeler vermesine, botu güncellemesine ve hatta çalışan işlemleri sonlandırmasına olanak tanır.

Saldırgan altyapısının daha ayrıntılı incelenmesi, ilk C2 sunucularının 18 Eylül 2023'te faaliyete geçtiğini ortaya koyuyor. Bu sunucular, Ağustos 2023 civarında kurulan yukarı akışlı bir Tier 2 sunucuyla etkileşime girecek şekilde yapılandırılmıştır.

Latrodectus ve IcedID arasındaki ilişki, T2 sunucusunun IcedID'ye bağlı arka uç altyapısıyla olan bağlantılarından ve daha önce IcedID operasyonlarına bağlı olan atlama kutularının kullanımından açıkça görülüyor.

Araştırmacılar, suç dünyasındaki finansal motivasyona sahip tehdit aktörlerinin, özellikle de daha önce IcedID'yi yayanların Latrodectus kullanımında bir artış olacağını öngörüyor.