Zlonamerna programska oprema Latrodectus

Varnostni analitiki so odkrili novo zlonamerno programsko opremo, imenovano Latrodectus, ki se širi prek poskusov lažnega predstavljanja po e-pošti vsaj od konca novembra 2023. Latrodectus izstopa kot nastajajoči prenosnik, opremljen z različnimi zmožnostmi izogibanja peskovniku, ki so natančno izdelani za pridobivanje uporabnih podatkov in izvajanje poljubnih ukazov.

Obstajajo znaki, ki kažejo, da za razvojem Latrodectusa verjetno stojijo ustvarjalci razvpite zlonamerne programske opreme IcedID . Ta prenosnik uporabljajo posredniki za začetni dostop (IAB) za poenostavitev uvajanja druge zlonamerne programske opreme.

Latrodectus je pretežno povezan z dvema različnima IAB, identificiranima kot TA577 (znan tudi kot Water Curupira) in TA578. Omeniti velja, da je bil TA577 vpleten tudi v razširjanje QakBot in PikaBot .

Latrodectus morda nadomesti starejše grožnje zlonamerne programske opreme

Do sredine januarja 2024 je TA578 večinoma uporabljal Latrodectus v kampanjah groženj, ki so temeljile na e-pošti, ki so se pogosto širile prek okužb z DanaBot . TA578, znan igralec vsaj od maja 2020, je bil povezan z različnimi e-poštnimi kampanjami za distribucijo Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike in Bumblebee .

Zaporedja napadov vključujejo izkoriščanje kontaktnih obrazcev spletnega mesta za pošiljanje pravnih groženj v zvezi z domnevnimi kršitvami avtorskih pravic ciljnim organizacijam. Vdelane povezave v teh sporočilih preusmerijo prejemnike na zavajajoča spletna mesta in jih pozovejo, naj prenesejo datoteko JavaScript, ki je odgovorna za sprožitev primarnega koristnega tovora prek msiexec.

Latrodectus šifrira sistemske podatke in jih posreduje strežniku Command-and-Control (C2), ki sproži zahtevo za prenos botov. Ko bot vzpostavi stik s C2, nadaljuje s pridobivanjem ukazov od njega.

Zlonamerna programska oprema Latrodectus lahko izvaja številne invazivne ukaze

Zlonamerna programska oprema ima zmožnost zaznavanja okolja v peskovniku s preverjanjem prisotnosti veljavnega naslova MAC in najmanj 75 zagnanih procesov v sistemih z operacijskim sistemom Windows 10 ali novejšim.

Podobno kot IcedID je Latrodectus programiran za prenos podrobnosti registracije prek zahteve POST na strežnik C2, kjer so polja združena v parametre HTTP in šifrirana. Nato čaka na nadaljnja navodila strežnika. Ti ukazi zlonamerni programski opremi omogočajo oštevilčenje datotek in procesov, izvajanje binarnih datotek in datotek DLL, izdajanje poljubnih direktiv prek cmd.exe, posodobitev bota in celo prekinitev izvajajočih se procesov.

Nadaljnji pregled infrastrukture napadalcev razkrije, da so začetni strežniki C2 začeli delovati 18. septembra 2023. Ti strežniki so konfigurirani za interakcijo s strežnikom stopnje 2 navzgor, vzpostavljenim okoli avgusta 2023.

Povezava med Latrodectusom in IcedID je razvidna iz povezav strežnika T2 z zaledno infrastrukturo, povezano z IcedID, skupaj z uporabo skakalnih oken, ki so bila prej povezana z operacijami IcedID.

Raziskovalci predvidevajo povečanje uporabe Latrodectusa s strani finančno motiviranih akterjev groženj v kriminalnem svetu, zlasti tistih, ki so že razširjali IcedID.