Złośliwe oprogramowanie Latrodectus rozpowszechniane w ramach kampanii phishingowej

Badacze zagrożeń odkryli nowo zidentyfikowane złośliwe oprogramowanie o nazwie Latrodectus, które jest rozpowszechniane za pośrednictwem kampanii phishingu e-mailowego co najmniej od końca listopada 2023 r.

Opisywany jako nowy downloader z wieloma funkcjami pozwalającymi uniknąć wykrycia w środowiskach piaskownicy, Latrodectus został zaprojektowany do pobierania ładunków i wykonywania poleceń, jak przedstawiono w niedawnej wspólnej analizie przeprowadzonej przez badaczy z Proofpoint i Team Cymru.

Istnieją przesłanki sugerujące, że twórcami Latrodectusa są prawdopodobnie te same osoby, które odpowiadają za opracowanie szkodliwego oprogramowania IcedID. Ten moduł pobierania jest wykorzystywany przez brokerów początkowego dostępu (IAB) w celu usprawnienia wdrażania dodatkowego złośliwego oprogramowania.

Latrodectus połączony z dwoma APT

Latrodectus jest głównie powiązany z dwoma odrębnymi IAB znanymi jako TA577 (określany również jako Water Curupira) i TA578. TA577 był wcześniej łączony z rozpowszechnianiem QakBot i PikaBot.

Od połowy stycznia 2024 r. Latrodectus był głównie wykorzystywany przez TA578 w kampaniach zawierających zagrożenia e-mail, czasami przesyłane poprzez infekcję DanaBot.

TA578, działający co najmniej od maja 2020 r., brał udział w kampaniach e-mailowych dostarczających różne złośliwe oprogramowanie, takie jak Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike i Bumblebee.

Tryb infiltracji

Metodologia ataku zazwyczaj polega na wykorzystaniu formularzy kontaktowych znajdujących się na stronach internetowych w celu wysyłania do docelowych podmiotów zagrożeń prawnych związanych z rzekomym naruszeniem praw autorskich. Osadzone linki kierują odbiorców do zwodniczej witryny internetowej, przekonując ich do pobrania pliku JavaScript odpowiedzialnego za inicjowanie głównego ładunku za pomocą msiexec.

Po infekcji Latrodectus wysyła zaszyfrowane informacje systemowe do swojego serwera dowodzenia i kontroli (C2) i żąda pobrania bota. Po zarejestrowaniu się w C2 oczekuje na polecenia z serwera.

Latrodectus posiada możliwości wykrywania środowisk piaskownicy poprzez weryfikację obecności prawidłowego adresu MAC i wystarczającej liczby uruchomionych procesów na systemach z systemem Windows 10 lub nowszym.

Podobnie jak IcedID, Latrodectus przesyła informacje rejestracyjne do serwera C2 za pośrednictwem żądania POST, z danymi zaszyfrowanymi i połączonymi parametrami HTTP. Następnie oczekuje na dalsze instrukcje od serwera.

Polecenia wydawane Latrodectusowi pozwalają mu wyliczać pliki i procesy, wykonywać pliki binarne i DLL, wykonywać dowolne dyrektywy za pośrednictwem cmd.exe, aktualizować się i kończyć uruchomione procesy.

Dalsze badanie infrastruktury atakującego wykazało, że początkowe serwery C2 stały się aktywne 18 września 2023 r., komunikując się z serwerem nadrzędnym poziomu 2 utworzonym około sierpnia 2023 r.

Połączenie pomiędzy Latrodectus i IcedID wynika z faktu, że serwer Tier 2 utrzymuje połączenia z infrastrukturą zaplecza połączoną z IcedID i wykorzystuje jump boxy wcześniej kojarzone z operacjami IcedID.