Le logiciel malveillant Latrodectus distribué dans le cadre d'une campagne de phishing

Les enquêteurs sur les menaces ont découvert un malware nouvellement identifié nommé Latrodectus, qui est distribué via des campagnes de phishing par courrier électronique depuis au moins fin novembre 2023.

Décrit comme un téléchargeur émergent doté de multiples fonctionnalités permettant d'échapper à la détection dans les environnements sandbox, Latrodectus est conçu pour récupérer des charges utiles et exécuter des commandes, comme indiqué dans une récente analyse conjointe de chercheurs de Proofpoint et de l'équipe Cymru.

Certaines indications suggèrent que les créateurs de Latrodectus sont probablement les mêmes personnes responsables du développement du malware IcedID. Ce téléchargeur est utilisé par les courtiers d'accès initial (IAB) pour rationaliser le déploiement de logiciels malveillants supplémentaires.

Latrodectus lié à deux APT

Latrodectus est principalement associé à deux IAB distincts appelés TA577 (également appelé Water Curupira) et TA578. TA577 a déjà été connecté à la diffusion de QakBot et PikaBot.

Depuis la mi-janvier 2024, Latrodectus était principalement utilisé par TA578 dans des campagnes de menaces par courrier électronique, parfois transmises via une infection DanaBot.

TA578, opérationnel depuis au moins mai 2020, a été impliqué dans des campagnes par courrier électronique diffusant divers logiciels malveillants tels que Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike et Bumblebee.

Mode d'infiltration

La méthodologie d'attaque consiste généralement à utiliser des formulaires de contact sur des sites Web pour envoyer des menaces juridiques liées à une violation présumée du droit d'auteur aux entités ciblées. Les liens intégrés dirigent les destinataires vers un site Web trompeur, les persuadant de télécharger un fichier JavaScript chargé de lancer la charge utile principale à l'aide de msiexec.

Lors de l'infection, Latrodectus envoie des informations système cryptées à son serveur de commande et de contrôle (C2) et demande le téléchargement du bot. Après s'être enregistré auprès du C2, il attend les commandes du serveur.

Latrodectus possède des capacités pour détecter les environnements sandbox en vérifiant la présence d'une adresse MAC valide et d'un nombre suffisant de processus en cours d'exécution sur les systèmes exécutant Windows 10 ou une version plus récente.

Semblable à IcedID, Latrodectus soumet les informations d'enregistrement au serveur C2 via une requête POST, avec les données cryptées et les paramètres HTTP concaténés. Il attend ensuite d'autres instructions du serveur.

Les commandes émises à Latrodectus lui permettent d'énumérer les fichiers et les processus, d'exécuter des binaires et des fichiers DLL, d'exécuter des directives arbitraires via cmd.exe, de se mettre à jour et de mettre fin aux processus en cours.

Une enquête plus approfondie sur l'infrastructure de l'attaquant révèle que les serveurs C2 initiaux sont devenus actifs le 18 septembre 2023, communiquant avec un serveur de niveau 2 en amont établi vers août 2023.

La connexion entre Latrodectus et IcedID est évidente du fait que le serveur de niveau 2 maintient des connexions avec l'infrastructure backend liée à IcedID et utilise des boîtes de saut précédemment associées aux opérations IcedID.