Các thợ săn mã độc đã phát hiện ra một phần mềm độc hại mới có tên Latrodectus đã được phát tán như một phần của các chiến dịch lừa đảo qua email kể từ ít nhất là cuối tháng 11/2023.
"Latrodectus là một trình tải xuống sắp tới với nhiều chức năng trốn sandbox khác nhau", các nhà nghiên cứu từ Proofpoint và Team Cymru cho biết trong một phân tích chung được công bố vào tuần trước, thêm rằng nó được thiết kế để truy xuất tải trọng và thực hiện các lệnh tùy ý.
Có bằng chứng cho thấy phần mềm độc hại có khả năng được viết bởi cùng một tác nhân đe dọa đằng sau phần mềm độc hại IcedID, với trình tải xuống được sử dụng bởi các nhà môi giới truy cập ban đầu (IAB) để tạo điều kiện triển khai phần mềm độc hại khác.
Latrodectus chủ yếu được liên kết với hai IAB khác nhau được theo dõi bởi Proofpoint dưới tên TA577 (hay còn gọi là Water Curupira) và TA578, trước đây cũng có liên quan đến việc phân phối QakBot và PikaBot.
Kể từ giữa tháng 1 năm 2024, nó đã được TA578 sử dụng gần như độc quyền trong các chiến dịch đe dọa email, trong một số trường hợp được gửi qua nhiễm DanaBot.
TA578, được biết là hoạt động ít nhất từ tháng 5 năm 2020, đã được liên kết với các chiến dịch dựa trên email cung cấp Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike và Bumblebee.
Chuỗi tấn công tận dụng các hình thức liên hệ trên các trang web để gửi các mối đe dọa pháp lý liên quan đến cáo buộc vi phạm bản quyền cho các tổ chức được nhắm mục tiêu. Các liên kết được nhúng trong các tin nhắn hướng người nhận đến một trang web không có thật để lừa họ tải xuống tệp JavaScript chịu trách nhiệm khởi chạy tải trọng chính bằng msiexec.
"Latrodectus sẽ đăng thông tin hệ thống được mã hóa lên máy chủ chỉ huy và kiểm soát (C2) và yêu cầu tải xuống bot", các nhà nghiên cứu cho biết. "Khi bot đăng ký với C2, nó sẽ gửi yêu cầu lệnh từ C2."
Nó cũng đi kèm với khả năng phát hiện nếu nó đang chạy trong môi trường hộp cát bằng cách kiểm tra xem máy chủ có địa chỉ MAC hợp lệ hay không và có ít nhất 75 quy trình đang chạy trên các hệ thống chạy Windows 10 trở lên.
Giống như trong trường hợp của IcedID, Latrodectus được thiết kế để gửi thông tin đăng ký trong yêu cầu POST đến máy chủ C2 nơi các trường là các tham số HTTP được xâu chuỗi lại với nhau và được mã hóa, sau đó nó chờ hướng dẫn thêm từ máy chủ.
Một cuộc kiểm tra sâu hơn về cơ sở hạ tầng của kẻ tấn công cho thấy các máy chủ C2 đầu tiên đã trở nên sống động vào ngày 18 tháng 9 năm 2023. Các máy chủ này, lần lượt, được cấu hình để giao tiếp với một máy chủ Tier 2 ngược dòng được thiết lập vào khoảng tháng 8 năm 2023.
Các kết nối của Latrodectus với IcedID bắt nguồn từ thực tế là máy chủ T2 "duy trì kết nối với cơ sở hạ tầng phụ trợ được liên kết với IcedID" và sử dụng các hộp nhảy trước đây được liên kết với các hoạt động của IcedID.
"Latrodectus sẽ ngày càng được sử dụng bởi các tác nhân đe dọa có động cơ tài chính trên toàn cảnh tội phạm, đặc biệt là những người trước đây đã phân phối IcedID", Team Cymru đánh giá.