Latrodectus kenkėjiška programa, platinama sukčiavimo kampanijoje

Grėsmių tyrėjai aptiko naujai identifikuotą kenkėjišką programą, pavadintą Latrodectus, kuri buvo platinama per el. pašto sukčiavimo kampanijas mažiausiai nuo 2023 m. lapkričio pabaigos.

„Latrodectus“, apibūdinama kaip besiformuojanti parsisiuntimo programa, turinti daugybę funkcijų, leidžiančių išvengti aptikimo smėlio dėžės aplinkoje, skirta gauti naudingus krovinius ir vykdyti komandas, kaip nurodyta neseniai atliktoje bendroje „Proofpoint“ ir „Team Cymru“ tyrėjų analizėje.

Yra požymių, kad Latrodectus kūrėjai greičiausiai yra tie patys asmenys, atsakingi už IcedID kenkėjiškos programos kūrimą. Šią parsisiuntimo programą naudoja pradinės prieigos tarpininkai (IAB), kad supaprastintų papildomų kenkėjiškų programų diegimą.

Latrodectus susietas su dviem APT

Latrodectus daugiausia siejamas su dviem skirtingais IAB, žinomais kaip TA577 (taip pat vadinamas Water Curupira) ir TA578. TA577 anksčiau buvo prijungtas prie QakBot ir PikaBot platinimo.

Nuo 2024 m. sausio vidurio Latrodectus daugiausia naudojo TA578 el. pašto grėsmės kampanijose, kartais perduodamos per DanaBot infekciją.

TA578, veikiantis mažiausiai nuo 2020 m. gegužės mėn., dalyvavo el. pašto kampanijose, kuriose pristatomos įvairios kenkėjiškos programos, pvz., Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike ir Bumblebee.

Infiltracijos būdas

Atakos metodika paprastai apima kontaktinių formų naudojimą svetainėse, kad būtų siunčiami teisiniai grasinimai, susiję su tariamu autorių teisių pažeidimu, tiksliniams subjektams. Įterptosios nuorodos nukreipia gavėjus į apgaulingą svetainę, įtikindamos juos atsisiųsti „JavaScript“ failą, atsakingą už pagrindinio naudingojo krovinio inicijavimą naudojant „msiexec“.

Užsikrėtus, Latrodectus siunčia užšifruotą sistemos informaciją į savo komandų ir valdymo serverį (C2) ir prašo atsisiųsti robotą. Užsiregistravęs C2, jis laukia komandų iš serverio.

„Latrodectus“ turi galimybę aptikti smėlio dėžės aplinkas, patikrindama, ar sistemose, kuriose veikia „Windows 10“ ar naujesnė versija, yra galiojantis MAC adresas ir pakankamas vykdomų procesų skaičius.

Panašiai kaip IcedID, Latrodectus pateikia registracijos informaciją C2 serveriui per POST užklausą, o duomenys yra užšifruoti ir sujungti HTTP parametrais. Tada jis laukia tolesnių nurodymų iš serverio.

Latrodectus pateiktos komandos leidžia surašyti failus ir procesus, vykdyti dvejetainius ir DLL failus, vykdyti savavališkas direktyvas per cmd.exe, atnaujinti save ir nutraukti veikiančius procesus.

Tolesnis užpuolikų infrastruktūros tyrimas atskleidžia, kad pradiniai C2 serveriai suaktyvėjo 2023 m. rugsėjo 18 d., bendraudami su 2 pakopos serveriu, sukurtu maždaug 2023 m. rugpjūčio mėn.

Ryšys tarp Latrodectus ir IcedID akivaizdus iš to, kad 2 pakopos serveris palaiko ryšius su užpakalinės sistemos infrastruktūra, susieta su IcedID, ir naudoja peršokimo dėžutes, anksčiau susijusias su IcedID operacijomis.