Latrodectus skadlig programvara distribueras i nätfiskekampanj

foudre malware

Hotutredare har upptäckt en nyligen identifierad skadlig programvara vid namn Latrodectus, som har distribuerats via e-postnätfiskekampanjer sedan åtminstone slutet av november 2023.

Latrodectus beskrivs som en framväxande nedladdare med flera funktioner för att undvika upptäckt i sandlådemiljöer, och Latrodectus är designad för att hämta nyttolaster och utföra kommandon, som beskrivs i en nyligen genomförd gemensam analys av forskare från Proofpoint och Team Cymru.

Det finns indikationer som tyder på att skaparna av Latrodectus sannolikt är samma individer som är ansvariga för att utveckla IcedID skadlig programvara. Denna nedladdningsmaskin används av initial access brokers (IAB) för att effektivisera distributionen av ytterligare skadlig programvara.

Latrodectus kopplad till två APT

Latrodectus är huvudsakligen associerad med två distinkta IABs kända som TA577 (även kallad Water Curupira) och TA578. TA577 har tidigare varit kopplad till spridningen av QakBot och PikaBot.

I mitten av januari 2024 har Latrodectus främst använts av TA578 i e-posthotkampanjer, ibland överförda via en DanaBot-infektion.

TA578, i drift sedan åtminstone maj 2020, har varit involverad i e-postkampanjer som levererar olika skadliga program som Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike och Bumblebee.

Infiltrationssätt

Attackmetoden innebär vanligtvis att man använder kontaktformulär på webbplatser för att skicka juridiska hot relaterade till påstådda upphovsrättsintrång till riktade enheter. De inbäddade länkarna leder mottagarna till en vilseledande webbplats och övertalar dem att ladda ner en JavaScript-fil som ansvarar för att initiera den huvudsakliga nyttolasten med hjälp av msiexec.

Vid infektion skickar Latrodectus krypterad systeminformation till sin kommando-och-kontrollserver (C2) och begär nedladdning av boten. Efter registrering hos C2, väntar den på kommandon från servern.

Latrodectus har kapacitet att upptäcka sandlådemiljöer genom att verifiera närvaron av en giltig MAC-adress och ett tillräckligt antal pågående processer på system som kör Windows 10 eller senare.

I likhet med IcedID skickar Latrodectus registreringsinformation till C2-servern via en POST-begäran, med data krypterade och sammanlänkade HTTP-parametrar. Den väntar sedan på ytterligare instruktioner från servern.

De kommandon som utfärdas till Latrodectus tillåter den att räkna upp filer och processer, köra binärfiler och DLL-filer, exekvera godtyckliga direktiv via cmd.exe, uppdatera sig själv och avsluta pågående processer.

Ytterligare undersökningar av angriparens infrastruktur avslöjar att de första C2-servrarna blev aktiva den 18 september 2023 och kommunicerade med en uppströms Tier 2-server som etablerades runt augusti 2023.

Kopplingen mellan Latrodectus och IcedID framgår av det faktum att Tier 2-servern upprätthåller anslutningar med backend-infrastruktur kopplad till IcedID och använder jumpboxar som tidigare associerats med IcedID-operationer.

År Zaib
April 8, 2024
Computer Security
Svenska
April 8, 2024
Computer Security

Populära inlägg

Softcnapp potentiellt oönskad applikation

2 months sedan

Fel: Ox800VDS popup-bedrägeri

14 days sedan

Venanco.com bluff

18 days sedan

Vad är Cdmx Ransomware?

3 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

8 months sedan

"American Express - Uppdatera din kontoinformation"...

7 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.