Logiciel malveillant Latrodectus

Les analystes de sécurité ont découvert un nouveau malware baptisé Latrodectus, qui circule via des tentatives de phishing par courrier électronique depuis au moins fin novembre 2023. Latrodectus se distingue comme un téléchargeur émergent équipé de diverses capacités d'évasion de bac à sable, méticuleusement conçu pour récupérer des charges utiles et exécuter des commandes arbitraires.

Certaines indications suggèrent que les créateurs du célèbre malware IcedID sont probablement à l'origine du développement de Latrodectus. Ce téléchargeur est utilisé par les courtiers d'accès initial (IAB) pour rationaliser le déploiement d'autres logiciels malveillants.

Latrodectus est principalement associé à deux IAB distincts, identifiés comme TA577 (également connu sous le nom de Water Curupira) et TA578. Il convient de noter que TA577 a également été impliqué dans la diffusion de QakBot et de PikaBot .

Latrodectus pourrait remplacer les anciennes menaces de logiciels malveillants

À la mi-janvier 2024, Latrodectus était principalement utilisé par TA578 dans des campagnes de menaces par courrier électronique, souvent diffusées via des infections DanaBot . TA578, un acteur connu depuis au moins mai 2020, a été associé à diverses campagnes par courrier électronique distribuant Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike et Bumblebee .

Les séquences d'attaque impliquent l'exploitation de formulaires de contact de sites Web pour envoyer des menaces juridiques concernant de prétendues violations du droit d'auteur aux organisations ciblées. Les liens intégrés dans ces messages redirigent les destinataires vers des sites Web trompeurs, les invitant à télécharger un fichier JavaScript chargé de lancer la charge utile principale via msiexec.

Latrodectus crypte les données du système et les transmet au serveur de commande et de contrôle (C2), lançant ainsi une demande de téléchargement du bot. Une fois que le bot établit le contact avec le C2, il sollicite ses commandes.

Le logiciel malveillant Latrodectus peut exécuter de nombreuses commandes invasives

Le malware possède la capacité de détecter les environnements sandbox en vérifiant la présence d'une adresse MAC valide et d'un minimum de 75 processus en cours d'exécution sur les systèmes exécutant Windows 10 ou une version plus récente.

Semblable à IcedID, Latrodectus est programmé pour transmettre les détails d'enregistrement via une requête POST au serveur C2, où les champs sont concaténés en paramètres HTTP et cryptés. Il attend ensuite d'autres instructions du serveur. Ces commandes permettent au malware d'énumérer les fichiers et les processus, d'exécuter des fichiers binaires et DLL, d'émettre des directives arbitraires via cmd.exe, de mettre à jour le bot et même de mettre fin aux processus en cours.

Un examen plus approfondi de l'infrastructure de l'attaquant révèle que les serveurs C2 initiaux sont devenus opérationnels le 18 septembre 2023. Ces serveurs sont configurés pour interagir avec un serveur de niveau 2 en amont établi vers août 2023.

L'association entre Latrodectus et IcedID est évidente à partir des connexions du serveur T2 avec l'infrastructure backend liée à IcedID, ainsi que de l'utilisation de boîtes de saut précédemment liées aux opérations IcedID.

Les chercheurs anticipent une augmentation de l'utilisation de Latrodectus par des acteurs menaçants motivés par des raisons financières dans le domaine criminel, en particulier ceux qui ont déjà diffusé IcedID.