Latrodectus Malware distribuert i phishing-kampanje

Trusseletterforskere har avdekket en nylig identifisert skadelig programvare kalt Latrodectus, som har blitt distribuert gjennom e-postfiskekampanjer siden minst slutten av november 2023.

Latrodectus er beskrevet som en ny nedlaster med flere funksjoner for å unngå deteksjon i sandkassemiljøer, og er designet for å hente nyttelast og utføre kommandoer, som skissert i en nylig felles analyse av forskere fra Proofpoint og Team Cymru.

Det er indikasjoner som tyder på at skaperne av Latrodectus sannsynligvis er de samme personene som er ansvarlige for å utvikle IcedID malware. Denne nedlasteren brukes av innledende tilgangsmeglere (IAB) for å strømlinjeforme distribusjonen av ytterligere skadelig programvare.

Latrodectus knyttet til to APT-er

Latrodectus er hovedsakelig assosiert med to distinkte IABer kjent som TA577 (også referert til som Water Curupira) og TA578. TA577 har tidligere vært knyttet til formidlingen av QakBot og PikaBot.

Fra midten av januar 2024 har Latrodectus hovedsakelig blitt brukt av TA578 i e-posttrusselskampanjer, noen ganger overført via en DanaBot-infeksjon.

TA578, som har vært i drift siden minst mai 2020, har vært involvert i e-postkampanjer som har levert diverse skadelig programvare som Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike og Bumblebee.

Infiltrasjonsmåte

Angrepsmetodikken innebærer vanligvis å bruke kontaktskjemaer på nettsteder for å sende juridiske trusler knyttet til påståtte brudd på opphavsretten til målrettede enheter. De innebygde koblingene dirigerer mottakere til et villedende nettsted, og overtaler dem til å laste ned en JavaScript-fil som er ansvarlig for å starte hovednyttelasten ved å bruke msiexec.

Ved infeksjon sender Latrodectus kryptert systeminformasjon til sin kommando-og-kontrollserver (C2) og ber om nedlasting av boten. Etter registrering hos C2, venter den på kommandoer fra serveren.

Latrodectus har evner til å oppdage sandkassemiljøer ved å bekrefte tilstedeværelsen av en gyldig MAC-adresse og et tilstrekkelig antall kjørende prosesser på systemer som kjører Windows 10 eller nyere.

I likhet med IcedID sender Latrodectus registreringsinformasjon til C2-serveren via en POST-forespørsel, med dataene kryptert og sammenkoblede HTTP-parametere. Den venter deretter på ytterligere instruksjoner fra serveren.

Kommandoene som er utstedt til Latrodectus lar den telle opp filer og prosesser, kjøre binærfiler og DLL-filer, utføre vilkårlige direktiver via cmd.exe, oppdatere seg selv og avslutte kjørende prosesser.

Ytterligere undersøkelser av angriperinfrastrukturen avslører at de første C2-serverne ble aktive 18. september 2023, og kommuniserte med en oppstrøms Tier 2-server etablert rundt august 2023.

Forbindelsen mellom Latrodectus og IcedID er tydelig fra det faktum at Tier 2-serveren opprettholder forbindelser med backend-infrastruktur knyttet til IcedID og benytter jump-bokser som tidligere var knyttet til IcedID-operasjoner.