近期發現了一種名為 Latrodectus 的新惡意軟體,至少自 2023 年 11 月下旬以來,該惡意軟體已作為電子郵件網路釣魚活動的一部分進行分發,研究人員在聯合分析中表示,Latrodectus 是一款新興的下載器,具有各種沙箱規避功能。它旨在檢索有效負載並執行任意命令。
有證據表明,該惡意軟體很可能是由 IcedID 惡意軟體背後的相同威脅參與者編寫的,初始存取代理 (IAB) 使用下載程式來促進其他惡意軟體的Latrodectus 主要與 Proofpoint 追蹤的兩個不同的 IAB 相關聯,分別為 TA577(又稱 Water Curupira)和 TA578,前者也與 QakBot 和 PikaBot 的分佈相關。
根據研究指出,TA578 至少自 2020 年 5 月起就開始活躍,它已與基於電子郵件的 Ursnif、IcedID、KPOT Stealer、Buer Loader、BazaLoader、Cobalt Strike 和 Bumblebee 活動相關聯。
攻擊鏈利用網站上的聯絡表單向目標組織發送有關涉嫌侵犯版權的法律威脅。訊息中嵌入的連結將收件人引導至虛假網站,誘騙他們下載 JavaScript 文件,該文件負責使用 msiexec 啟動主要負載,Latrodectus 會將加密的系統資訊發佈到命令和控制伺服器 (C2) 並要求下載機器人。一旦機器人向 C2 註冊,它就會向 C2 發送命令請求,它能夠透過檢查主機是否具有有效的 MAC 位址以及運行 Windows 10 或更高版本的系統上是否至少有 75 個正在運行的進程來檢測其是否在沙盒環境中運行。
與 IcedID 類似,Latrodectus 旨在將 POST 請求中的註冊資訊傳送到 C2 伺服器,其中欄位是串在一起並加密的 HTTP 參數,之後等待伺服器的進一步指令,這些命令允許惡意軟體枚舉檔案和進程、執行二進位和 DLL 檔案、透過 cmd.exe 運行任意指令、更新機器人,甚至關閉正在運行的進程。
未來 Latrodectus 將越來越多地被犯罪領域出於經濟動機的網路攻擊者所使用,特別是那些先前分發過 IcedID 的人。
參考資料:
https://cybersafe.news/beware-of-the-new-latrodectus-malware/