Вредоносное ПО Latrodectus распространялось в ходе фишинговой кампании

Исследователи угроз обнаружили недавно идентифицированное вредоносное ПО под названием Latrodectus, которое распространяется посредством фишинговых кампаний по электронной почте как минимум с конца ноября 2023 года.

Описанный как новый загрузчик с множеством функций, позволяющих избежать обнаружения в изолированных средах, Latrodectus предназначен для извлечения полезных данных и выполнения команд, как указано в недавнем совместном анализе исследователей из Proofpoint и Team Cymru.

Есть признаки того, что создателями Latrodectus, вероятно, являются те же люди, которые ответственны за разработку вредоносного ПО IcedID. Этот загрузчик используется брокерами начального доступа (IAB) для оптимизации развертывания дополнительных вредоносных программ.

Латродектус связан с двумя APT

Latrodectus преимущественно связан с двумя отдельными IAB, известными как TA577 (также называемый Water Curupira) и TA578. TA577 ранее был связан с распространением QakBot и PikaBot.

По состоянию на середину января 2024 года TA578 преимущественно использовал Latrodectus в кампаниях по угрозам по электронной почте, иногда передаваемых через заражение DanaBot.

TA578, действующий как минимум с мая 2020 года, участвовал в кампаниях по рассылке по электронной почте различных вредоносных программ, таких как Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike и Bumblebee.

Режим проникновения

Методология атаки обычно включает использование контактных форм на веб-сайтах для отправки юридических угроз, связанных с предполагаемым нарушением авторских прав, целевым организациям. Встроенные ссылки направляют получателей на обманчивый веб-сайт, убеждая их загрузить файл JavaScript, отвечающий за инициацию основной полезной нагрузки с помощью msiexec.

При заражении Latrodectus отправляет зашифрованную системную информацию на свой сервер управления (C2) и запрашивает загрузку бота. После регистрации на C2 он ожидает команд от сервера.

Latrodectus обладает возможностями обнаружения изолированных сред путем проверки наличия действующего MAC-адреса и достаточного количества запущенных процессов в системах под управлением Windows 10 или новее.

Подобно IcedID, Latrodectus отправляет регистрационную информацию на сервер C2 через запрос POST, при этом данные зашифрованы и объединены параметрами HTTP. Затем он ожидает дальнейших инструкций от сервера.

Команды, переданные Latrodectus, позволяют ему перечислять файлы и процессы, выполнять двоичные файлы и файлы DLL, выполнять произвольные директивы через cmd.exe, обновляться и завершать запущенные процессы.

Дальнейшее расследование инфраструктуры злоумышленников показывает, что первоначальные серверы C2 стали активными 18 сентября 2023 года, взаимодействуя с вышестоящим сервером уровня 2, созданным примерно в августе 2023 года.

Связь между Latrodectus и IcedID очевидна из того факта, что сервер уровня 2 поддерживает соединения с серверной инфраструктурой, связанной с IcedID, и использует переключатели, ранее связанные с операциями IcedID.