Latrodectus Malware verspreid in phishing-campagne

foudre malware

Bedreigingsonderzoekers hebben een nieuw geïdentificeerde malware ontdekt met de naam Latrodectus, die sinds eind november 2023 via e-mailphishing-campagnes wordt verspreid.

Beschreven als een opkomende downloader met meerdere functies om detectie in sandbox-omgevingen te omzeilen, is Latrodectus ontworpen om payloads op te halen en opdrachten uit te voeren, zoals uiteengezet in een recente gezamenlijke analyse door onderzoekers van Proofpoint en Team Cymru.

Er zijn aanwijzingen dat de makers van Latrodectus waarschijnlijk dezelfde personen zijn die verantwoordelijk zijn voor de ontwikkeling van de IcedID-malware. Deze downloader wordt gebruikt door Initial Access Brokers (IAB's) om de implementatie van aanvullende malware te stroomlijnen.

Latrodectus gekoppeld aan twee APT's

Latrodectus wordt voornamelijk geassocieerd met twee verschillende IAB's, bekend als TA577 (ook wel Water Curupira genoemd) en TA578. TA577 is eerder verbonden geweest met de verspreiding van QakBot en PikaBot.

Sinds medio januari 2024 wordt Latrodectus voornamelijk door TA578 gebruikt in e-mailbedreigingscampagnes, soms verzonden via een DanaBot-infectie.

TA578, operationeel sinds minstens mei 2020, is betrokken geweest bij e-mailcampagnes die verschillende malware bevatten, zoals Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike en Bumblebee.

Wijze van infiltratie

De aanvalsmethodologie omvat doorgaans het gebruik van contactformulieren op websites om juridische bedreigingen met betrekking tot vermeende inbreuk op het auteursrecht naar gerichte entiteiten te sturen. De ingebedde links leiden de ontvangers naar een misleidende website en overtuigen hen om een JavaScript-bestand te downloaden dat verantwoordelijk is voor het initiëren van de belangrijkste payload met behulp van msiexec.

Bij infectie verzendt Latrodectus gecodeerde systeeminformatie naar zijn command-and-control-server (C2) en vraagt om het downloaden van de bot. Na registratie bij de C2 wacht deze op opdrachten van de server.

Latrodectus beschikt over mogelijkheden om sandbox-omgevingen te detecteren door de aanwezigheid van een geldig MAC-adres en een voldoende aantal actieve processen op systemen met Windows 10 of nieuwer te verifiëren.

Net als IcedID verzendt Latrodectus registratie-informatie naar de C2-server via een POST-verzoek, waarbij de gegevens worden gecodeerd en samengevoegde HTTP-parameters. Vervolgens wacht het op verdere instructies van de server.

Met de opdrachten die aan Latrodectus worden gegeven, kan het bestanden en processen opsommen, binaire bestanden en DLL-bestanden uitvoeren, willekeurige richtlijnen uitvoeren via cmd.exe, zichzelf bijwerken en lopende processen beëindigen.

Uit verder onderzoek naar de infrastructuur van de aanvaller blijkt dat de eerste C2-servers op 18 september 2023 actief werden en communiceerden met een upstream Tier 2-server die rond augustus 2023 was opgericht.

De verbinding tussen Latrodectus en IcedID blijkt uit het feit dat de Tier 2-server verbindingen onderhoudt met de backend-infrastructuur die is gekoppeld aan IcedID en gebruik maakt van jumpboxen die voorheen werden geassocieerd met IcedID-operaties.

Tegen Zaib
April 8, 2024
Computer Security
Nederlands
April 8, 2024
Computer Security

Populaire posts

Softcnapp mogelijk ongewenste toepassing

2 months geleden

Fout: Ox800VDS pop-upfraude

14 days geleden

Venanco.com oplichting

18 days geleden

Wat is Cdmx-ransomware?

3 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

8 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

7 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.