Az adathalász kampányban terjesztett Latrodectus malware

A fenyegetésvizsgálók egy újonnan azonosított Latrodectus nevű rosszindulatú programot fedeztek fel, amelyet legalább 2023 novembere óta terjesztenek e-mailes adathalász kampányokon keresztül.

A Latrodectus egy feltörekvő letöltő, amely számos funkcióval rendelkezik a sandbox-környezetben történő észlelés elkerülésére. A Latrodectust úgy tervezték, hogy lekérje a hasznos terheket és végrehajtsa a parancsokat, amint azt a Proofpoint és a Team Cymru kutatói nemrégiben végzett közös elemzése vázolta.

Vannak arra utaló jelek, hogy a Latrodectus készítői valószínűleg ugyanazok a személyek felelősek az IcedID kártevő kifejlesztéséért. Ezt a letöltőt a kezdeti hozzáférés-közvetítők (IAB-k) használják a további rosszindulatú programok telepítésének egyszerűsítésére.

Latrodectus két APT-hez kapcsolódik

A Latrodectus túlnyomórészt két különálló IAB-hoz kapcsolódik, amelyek TA577 (más néven Water Curupira) és TA578 néven ismertek. A TA577-et korábban összekapcsolták a QakBot és a PikaBot terjesztésével.

2024. január közepétől a Latrodectust túlnyomórészt a TA578 használta e-mailes fenyegetési kampányokban, néha DanaBot fertőzésen keresztül.

A TA578, amely legalább 2020 májusa óta működik, olyan e-mail kampányokban vesz részt, amelyek különféle rosszindulatú programokat szállítanak, mint például az Ursnif, az IcedID, a KPOT Stealer, a Buer Loader, a BazaLoader, a Cobalt Strike és a Bumblebee.

A beszivárgás módja

A támadási módszer általában magában foglalja a webhelyeken található kapcsolatfelvételi űrlapok használatát a szerzői jogok feltételezett megsértésével kapcsolatos jogi fenyegetések elküldésére a célszervezeteknek. A beágyazott linkek egy megtévesztő webhelyre irányítják a címzetteket, és ráveszik őket, hogy töltsenek le egy JavaScript-fájlt, amely felelős a fő hasznos terhelés elindításához az msiexec használatával.

Fertőzéskor a Latrodectus titkosított rendszerinformációkat küld a parancs- és vezérlőszerverének (C2), és kéri a bot letöltését. A C2-vel való regisztráció után várja a szervertől érkező parancsokat.

A Latrodectus képes felismerni a sandbox-környezeteket az érvényes MAC-cím és a megfelelő számú futó folyamat meglétének ellenőrzésével a Windows 10 vagy újabb rendszert futtató rendszereken.

Az IcedID-hez hasonlóan a Latrodectus POST kéréssel küldi el a regisztrációs információkat a C2 szervernek, az adatok titkosított és összefűzött HTTP paraméterekkel. Ezután további utasításokat vár a szervertől.

A Latrodectusnak kiadott parancsok lehetővé teszik fájlok és folyamatok felsorolását, bináris és DLL fájlok végrehajtását, tetszőleges direktívák végrehajtását cmd.exe segítségével, frissítését és a futó folyamatok leállítását.

A támadó infrastruktúrájának további vizsgálata feltárja, hogy a kezdeti C2-szerverek 2023. szeptember 18-án váltak aktívvá, és egy 2023 augusztusa körül létrehozott upstream Tier 2 szerverrel kommunikáltak.

A Latrodectus és az IcedID közötti kapcsolat nyilvánvaló abból a tényből, hogy a Tier 2 szerver kapcsolatot tart fenn az IcedID-hez kapcsolódó háttérinfrastruktúrával, és korábban az IcedID műveletekhez társított jump boxokat alkalmaz.