Latrodectus 惡意軟體在網路釣魚活動中傳播

威脅調查人員發現了一種新發現的名為 Latrodectus 的惡意軟體，該惡意軟體至少自 2023 年 11 月下旬以來一直透過電子郵件網路釣魚活動進行傳播。

正如 Proofpoint 和 Team Cymru 研究人員最近的聯合分析所述，Latrodectus 被描述為一種新興的下載器，具有多種功能，可以逃避沙盒環境中的檢測，旨在獲取有效負載並執行命令。

有跡象表明，Latrodectus 的創建者很可能與開發 IcedID 惡意軟體的人是同一個人。初始存取代理程式 (IAB) 使用此下載程式來簡化其他惡意軟體的部署。

Latrodectus 與兩個 APT 相關

Latrodectus 主要與兩種不同的 IAB 相關，即 TA577（也稱為 Water Curupira）和 TA578。 TA577先前已連接傳播QakBot和PikaBot。

截至 2024 年 1 月中旬，Latrodectus 主要被 TA578 用於電子郵件威脅活動，有時透過 DanaBot 感染傳播。

TA578 至少自 2020 年 5 月開始運營，參與了傳播各種惡意軟體的電子郵件活動，例如 Ursnif、IcedID、KPOT Stealer、Buer Loader、BazaLoader、Cobalt Strike 和 Bumblebee。

滲透方式

攻擊方法通常涉及使用網站上的聯絡表單向目標實體發送與涉嫌侵犯版權相關的法律威脅。嵌入的連結將接收者引導至欺騙性網站，誘使他們下載負責使用 msiexec 啟動主要有效負載的 JavaScript 檔案。

感染後，Latrodectus 會將加密的系統資訊傳送到其命令和控制伺服器 (C2) 並要求下載殭屍程式。向C2註冊後，它等待來自伺服器的命令。

Latrodectus 具有透過驗證運行 Windows 10 或更高版本的系統上是否存在有效的 MAC 位址和足夠數量的正在運行的進程來檢測沙盒環境的功能。

與 IcedID 類似，Latrodectus 透過 POST 請求向 C2 伺服器提交註冊訊息，其中資料經過加密並連接 HTTP 參數。然後它等待來自伺服器的進一步指令。

向 Latrodectus 發出的命令允許其枚舉檔案和進程、執行二進位和 DLL 檔案、透過 cmd.exe 執行任意指令、更新自身以及終止正在運行的進程。

對攻擊者基礎設施的進一步調查顯示，最初的 C2 伺服器於 2023 年 9 月 18 日開始活躍，與 2023 年 8 月左右建立的上游第 2 層伺服器進行通訊。

Latrodectus 和 IcedID 之間的連接顯而易見，因為第 2 層伺服器維護與連結到 IcedID 的後端基礎設施的連接，並採用先前與 IcedID 操作相關的跳線盒。