Το κακόβουλο λογισμικό Latrodectus διανέμεται στην καμπάνια ηλεκτρονικού ψαρέματος

Οι ερευνητές απειλών ανακάλυψαν ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό με το όνομα Latrodectus, το οποίο διανέμεται μέσω εκστρατειών ηλεκτρονικού ψαρέματος τουλάχιστον από τα τέλη Νοεμβρίου 2023.

Περιγραφόμενο ως ένα αναδυόμενο πρόγραμμα λήψης με πολλαπλές δυνατότητες για αποφυγή εντοπισμού σε περιβάλλοντα sandbox, το Latrodectus έχει σχεδιαστεί για να ανακτά ωφέλιμα φορτία και να εκτελεί εντολές, όπως περιγράφεται σε μια πρόσφατη κοινή ανάλυση από ερευνητές από την Proofpoint και την Team Cymru.

Υπάρχουν ενδείξεις που υποδηλώνουν ότι οι δημιουργοί του Latrodectus είναι πιθανότατα τα ίδια άτομα που είναι υπεύθυνα για την ανάπτυξη του κακόβουλου λογισμικού IcedID. Αυτό το πρόγραμμα λήψης χρησιμοποιείται από μεσίτες αρχικής πρόσβασης (IABs) για τον εξορθολογισμό της ανάπτυξης πρόσθετου κακόβουλου λογισμικού.

Το Latrodectus συνδέεται με δύο APT

Το Latrodectus συνδέεται κυρίως με δύο ξεχωριστά IAB γνωστά ως TA577 (αναφέρεται επίσης ως Water Curupira) και TA578. Το TA577 είχε προηγουμένως συνδεθεί με τη διάδοση των QakBot και PikaBot.

Από τα μέσα Ιανουαρίου 2024, το Latrodectus χρησιμοποιήθηκε κυρίως από το TA578 σε εκστρατείες απειλών ηλεκτρονικού ταχυδρομείου, μερικές φορές μεταδιδόμενες μέσω μόλυνσης DanaBot.

Το TA578, που λειτουργεί τουλάχιστον από τον Μάιο του 2020, έχει εμπλακεί σε καμπάνιες ηλεκτρονικού ταχυδρομείου που παρέχουν διάφορα κακόβουλα προγράμματα όπως Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike και Bumblebee.

Τρόπος διείσδυσης

Η μεθοδολογία επίθεσης συνήθως περιλαμβάνει τη χρήση φορμών επικοινωνίας σε ιστότοπους για την αποστολή νομικών απειλών που σχετίζονται με υποτιθέμενη παραβίαση πνευματικών δικαιωμάτων σε στοχευμένες οντότητες. Η ενσωματωμένη σύνδεση κατευθύνει τους παραλήπτες σε έναν παραπλανητικό ιστότοπο, πείθοντάς τους να κατεβάσουν ένα αρχείο JavaScript που είναι υπεύθυνο για την εκκίνηση του κύριου ωφέλιμου φορτίου χρησιμοποιώντας το msiexec.

Μετά τη μόλυνση, το Latrodectus στέλνει κρυπτογραφημένες πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) και ζητά τη λήψη του bot. Μετά την εγγραφή στο C2, αναμένει εντολές από τον διακομιστή.

Το Latrodectus διαθέτει δυνατότητες ανίχνευσης περιβαλλόντων sandbox επαληθεύοντας την παρουσία μιας έγκυρης διεύθυνσης MAC και επαρκούς αριθμού διεργασιών που εκτελούνται σε συστήματα με Windows 10 ή νεότερη έκδοση.

Παρόμοια με το IcedID, το Latrodectus υποβάλλει πληροφορίες εγγραφής στον διακομιστή C2 μέσω αιτήματος POST, με τα δεδομένα κρυπτογραφημένες και συνενωμένες παραμέτρους HTTP. Στη συνέχεια, περιμένει περαιτέρω οδηγίες από τον διακομιστή.

Οι εντολές που εκδίδονται στο Latrodectus του επιτρέπουν να απαριθμεί αρχεία και διεργασίες, να εκτελεί δυαδικά και αρχεία DLL, να εκτελεί αυθαίρετες οδηγίες μέσω cmd.exe, να ενημερώνεται και να τερματίζει τις τρέχουσες διεργασίες.

Περαιτέρω έρευνα για την υποδομή εισβολέα αποκαλύπτει ότι οι αρχικοί διακομιστές C2 άρχισαν να δραστηριοποιούνται στις 18 Σεπτεμβρίου 2023, επικοινωνώντας με έναν διακομιστή επιπέδου 2 που δημιουργήθηκε γύρω στον Αύγουστο του 2023.

Η σύνδεση μεταξύ του Latrodectus και του IcedID είναι εμφανής από το γεγονός ότι ο διακομιστής Tier 2 διατηρεί συνδέσεις με υποδομή υποστήριξης συνδεδεμένη με το IcedID και χρησιμοποιεί jump boxes που είχαν συσχετιστεί προηγουμένως με λειτουργίες IcedID.