Malware Latrodectus distribuito nella campagna di phishing

Gli investigatori delle minacce hanno scoperto un malware appena identificato denominato Latrodectus, che è stato distribuito tramite campagne di phishing via email almeno dalla fine di novembre 2023.

Descritto come un downloader emergente con molteplici funzionalità per eludere il rilevamento in ambienti sandbox, Latrodectus è progettato per recuperare carichi utili ed eseguire comandi, come delineato in una recente analisi congiunta dei ricercatori di Proofpoint e Team Cymru.

Alcuni elementi suggeriscono che i creatori di Latrodectus siano probabilmente gli stessi responsabili dello sviluppo del malware IcedID. Questo downloader viene utilizzato dai broker di accesso iniziale (IAB) per semplificare la distribuzione di malware aggiuntivo.

Latrodectus collegato a due APT

Latrodectus è prevalentemente associato a due IAB distinti noti come TA577 (noto anche come Water Curupira) e TA578. TA577 è stato precedentemente collegato alla diffusione di QakBot e PikaBot.

A partire da metà gennaio 2024, Latrodectus è stato utilizzato prevalentemente da TA578 in campagne di minaccia via e-mail, a volte trasmesse tramite un'infezione DanaBot.

TA578, operativo almeno da maggio 2020, è stato coinvolto in campagne e-mail che distribuiscono vari malware come Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike e Bumblebee.

Modalità di infiltrazione

La metodologia di attacco prevede in genere l'utilizzo di moduli di contatto sui siti Web per inviare minacce legali relative alla presunta violazione del copyright alle entità prese di mira. I collegamenti incorporati indirizzano i destinatari a un sito Web ingannevole, convincendoli a scaricare un file JavaScript responsabile dell'avvio del payload principale utilizzando msiexec.

Dopo l'infezione, Latrodectus invia informazioni di sistema crittografate al suo server di comando e controllo (C2) e richiede il download del bot. Dopo essersi registrato con il C2, attende i comandi dal server.

Latrodectus possiede funzionalità per rilevare ambienti sandbox verificando la presenza di un indirizzo MAC valido e un numero sufficiente di processi in esecuzione su sistemi che eseguono Windows 10 o versioni successive.

Similmente a IcedID, Latrodectus invia le informazioni di registrazione al server C2 tramite una richiesta POST, con i dati crittografati e parametri HTTP concatenati. Quindi attende ulteriori istruzioni dal server.

I comandi impartiti a Latrodectus gli consentono di enumerare file e processi, eseguire file binari e DLL, eseguire direttive arbitrarie tramite cmd.exe, aggiornarsi e terminare i processi in esecuzione.

Ulteriori indagini sull’infrastruttura dell’aggressore rivelano che i server C2 iniziali sono diventati attivi il 18 settembre 2023, comunicando con un server Tier 2 upstream istituito intorno ad agosto 2023.

La connessione tra Latrodectus e IcedID è evidente dal fatto che il server Tier 2 mantiene connessioni con l'infrastruttura backend collegata a IcedID e utilizza jump box precedentemente associati alle operazioni IcedID.