Latrodectus Malware

Sigurnosni analitičari otkrili su novi zlonamjerni softver pod nazivom Latrodectus, koji kruži kroz pokušaje krađe identiteta putem e-pošte barem od kraja studenog 2023. Latrodectus se ističe kao preuzimač u nastajanju opremljen raznolikim mogućnostima izbjegavanja sandboxa, pomno izrađenim za dohvaćanje korisnih podataka i izvršavanje proizvoljnih naredbi.

Postoje naznake koje upućuju na to da tvorci ozloglašenog zlonamjernog softvera IcedID vjerojatno stoje iza razvoja Latrodectusa. Ovaj preuzimač koriste brokeri za početni pristup (IAB) kako bi pojednostavili implementaciju drugog zlonamjernog softvera.

Latrodectus je pretežno povezan s dva različita IAB-a, identificirana kao TA577 (također poznata kao Water Curupira) i TA578. Treba napomenuti da je TA577 također upleten u širenje QakBota i PikaBota .

Latrodectus možda nadmašuje starije prijetnje zlonamjernim softverom

Do sredine siječnja 2024. Latrodectus je pretežno korišten od strane TA578 u kampanjama prijetnji temeljenim na e-pošti, koje se često šire putem infekcija DanaBotom . TA578, poznati glumac barem od svibnja 2020., povezan je s raznim kampanjama e-pošte koje distribuiraju Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike i Bumblebee .

Sekvence napada uključuju iskorištavanje obrazaca za kontakt web stranica za slanje pravnih prijetnji u vezi s navodnim kršenjem autorskih prava ciljanim organizacijama. Ugrađene veze unutar ovih poruka preusmjeravaju primatelje na lažna web-mjesta, potičući ih da preuzmu JavaScript datoteku koja je odgovorna za pokretanje primarnog sadržaja putem msiexeca.

Latrodectus šifrira sistemske podatke i prosljeđuje ih Command-and-Control serveru (C2), inicirajući zahtjev za preuzimanje bota. Nakon što bot uspostavi kontakt s C2, nastavlja tražiti naredbe od njega.

Zlonamjerni softver Latrodectus može izvršavati brojne invazivne naredbe

Zlonamjerni softver ima sposobnost otkrivanja okruženja u sandboxu provjerom prisutnosti valjane MAC adrese i najmanje 75 pokrenutih procesa na sustavima s operativnim sustavom Windows 10 ili novijim.

Slično IcedID-u, Latrodectus je programiran za prijenos podataka o registraciji putem POST zahtjeva na C2 poslužitelj, gdje su polja spojena u HTTP parametre i šifrirana. Nakon toga čeka daljnje upute od poslužitelja. Ove naredbe ovlašćuju zlonamjerni softver da nabraja datoteke i procese, izvršava binarne i DLL datoteke, izdaje proizvoljne direktive putem cmd.exe, ažurira bot, pa čak i prekida pokrenute procese.

Daljnje ispitivanje infrastrukture napadača otkriva da su početni C2 poslužitelji postali operativni 18. rujna 2023. Ovi poslužitelji su konfigurirani za interakciju s uzvodnim Tier 2 poslužiteljem koji je uspostavljen oko kolovoza 2023.

Povezanost između Latrodectusa i IcedID-a vidljiva je iz veza poslužitelja T2 s pozadinskom infrastrukturom povezanom s IcedID-om, zajedno s korištenjem okvira za skok koji su prethodno bili povezani s operacijama IcedID-a.

Istraživači predviđaju skok u korištenju Latrodectusa od strane financijski motiviranih aktera prijetnji u kriminalnom svijetu, posebno onih koji su ranije širili IcedID.