Latrodectus Malware distribueret i phishing-kampagne

Trusselsefterforskere har afsløret en nyligt identificeret malware ved navn Latrodectus, som er blevet distribueret gennem e-mail-phishing-kampagner siden mindst slutningen af november 2023.

Latrodectus, der er beskrevet som en ny downloader med flere funktioner til at undgå registrering i sandkassemiljøer, er designet til at hente nyttelaster og udføre kommandoer, som beskrevet i en nylig fælles analyse af forskere fra Proofpoint og Team Cymru.

Der er indikationer, der tyder på, at skaberne af Latrodectus sandsynligvis er de samme personer, der er ansvarlige for at udvikle IcedID-malwaren. Denne downloader bruges af initial access brokers (IAB'er) til at strømline implementeringen af yderligere malware.

Latrodectus knyttet til to APT'er

Latrodectus er overvejende forbundet med to forskellige IAB'er kendt som TA577 (også kaldet Water Curupira) og TA578. TA577 har tidligere været forbundet med formidlingen af QakBot og PikaBot.

Fra midten af januar 2024 er Latrodectus overvejende blevet brugt af TA578 i e-mail-trusselskampagner, nogle gange overført via en DanaBot-infektion.

TA578, der har været i drift siden mindst maj 2020, har været involveret i e-mail-kampagner, der leverer forskellige malware såsom Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike og Bumblebee.

Infiltrationsmåde

Angrebsmetoden involverer typisk brug af kontaktformularer på websteder til at sende juridiske trusler relateret til påstået krænkelse af ophavsretten til målrettede enheder. De indlejrede links dirigerer modtagere til et vildledende websted og overtaler dem til at downloade en JavaScript-fil, der er ansvarlig for at starte den primære nyttelast ved hjælp af msiexec.

Ved infektion sender Latrodectus krypteret systeminformation til sin kommando-og-kontrol-server (C2) og anmoder om download af botten. Efter registrering hos C2 afventer den kommandoer fra serveren.

Latrodectus har evner til at detektere miljøer med sandkasse ved at verificere tilstedeværelsen af en gyldig MAC-adresse og et tilstrækkeligt antal kørende processer på systemer, der kører Windows 10 eller nyere.

I lighed med IcedID sender Latrodectus registreringsoplysninger til C2-serveren via en POST-anmodning med dataene krypterede og sammenkædede HTTP-parametre. Den afventer derefter yderligere instruktioner fra serveren.

De kommandoer, der udstedes til Latrodectus, giver den mulighed for at opregne filer og processer, udføre binære filer og DLL-filer, udføre vilkårlige direktiver via cmd.exe, opdatere sig selv og afslutte kørende processer.

Yderligere undersøgelser af angriberinfrastrukturen afslører, at de første C2-servere blev aktive den 18. september 2023 og kommunikerede med en upstream Tier 2-server etableret omkring august 2023.

Forbindelsen mellem Latrodectus og IcedID fremgår af det faktum, at Tier 2-serveren opretholder forbindelser med backend-infrastruktur knyttet til IcedID og anvender jump-bokse, der tidligere var forbundet med IcedID-operationer.