De malware bekend als Latrodectus is de nieuwste geworden die de veelgebruikte sociale engineeringtechniek met de naam ClickFix als distributievector omarmt.
“De ClickFix -techniek is met name riskant omdat de malware in het geheugen kan uitvoeren in plaats van naar schijf te worden geschreven,” zei Expel in een rapport dat wordt gedeeld met het Hacker News. “Dit verwijdert veel mogelijkheden voor browsers of beveiligingshulpmiddelen om de malware te detecteren of te blokkeren.”
LatroDectus, beschouwd als een opvolger van Icedid, is de naam gegeven aan een malware die fungeert als een downloader voor andere payloads, zoals ransomware. Het werd voor het eerst gedocumenteerd door Proofpoint en Team Cymru in april 2024.
Overigens is de malware een van de vele kwaadaardige software die een operationele tegenslag lijdt als onderdeel van Operation Endgame, die 300 servers wereldwijd en geneutraliseerde 650 domeinen met betrekking tot Bumblebee, Lactrodectus, Qakbot, Qakbot, Qakbot, Qakbot, Kaackloader, Danabot, Trickbot en Warmcookie tussen mei 19 en 22, 2025 haalde.
In de nieuwste set LatroDectus -aanvallen waargenomen door Expel in mei 2025, worden nietsvermoedende gebruikers misleid om een PowerShell -opdracht te kopiëren en uit te voeren van een geïnfecteerde website, een tactiek die een gangbare methode is geworden om een breed scala aan malware te verdelen.
“Wanneer ze worden uitgevoerd door een gebruiker, zullen deze opdrachten proberen een bestand op de externe URL te installeren met behulp van MSIEXEC en deze vervolgens in het geheugen uitvoeren,” zei Expel. “Dit voorkomt dat de aanvaller het bestand naar de computer moet schrijven en het risico loopt te worden gedetecteerd door de browser of een antivirus dat het op schijf kan detecteren.”
Het MSI -installatieprogramma bevat een legitieme applicatie van NVIDIA, die wordt gebruikt om een kwaadwillende DLL te sideloaden, die vervolgens CURL gebruikt om de belangrijkste lading te downloaden.
Om aanvallen van dit type te verminderen, wordt geadviseerd om het Windows Run -programma uit te schakelen met behulp van Group Policy Objects (GPOS) of de “Windows + R” -hotsleutel uitschakelen via een Windows -registerwijziging.
Van clickfix naar Tiktok
De openbaarmaking komt als Trend Micro details onthulden van een nieuwe engineeringcampagne die in plaats van te vertrouwen op nep -captcha -pagina’s Tiktok -video’s die waarschijnlijk worden gegenereerd met behulp van Artificial Intelligence (AI) -hulpmiddelen om de Vidar en STEALC -informatie -stalers te leveren door gebruikers aan te geven kwaadaardige commando’s op hun systemen te activeren om Windows, Microsoft Office, Capcut en Spotify te leveren.
Deze video’s zijn gepost uit verschillende Tiktok -accounts zoals @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc en @digitaldreams771. Deze accounts zijn niet langer actief. Een van de video’s die beweren instructies te geven over hoe u “uw Spotify -ervaring direct kunt stimuleren” heeft bijna 500.000 views verzameld, met meer dan 20.000 likes en meer dan 100 reacties.
De campagne markeert een nieuwe escalatie van ClickFix doordat gebruikers die op zoek zijn naar manieren om illegale apps te activeren, verbaal en visueel worden begeleid om het Windows Run -dialoogvenster te openen door te drukken op de “Windows + R” Hot Key, Launch PowerShell en de opdracht uitvoeren die in de video wordt gemarkeerd, uiteindelijk in gevaar brengen van hun eigen systemen.
“Dreigingsacteurs gebruiken nu Tiktok-video’s die mogelijk worden gegenereerd met behulp van AI-aangedreven tools om gebruikers sociaal te ontwikkelen om PowerShell-commando’s uit te voeren onder het mom van het begeleiden van hen om legitieme software te activeren of premium-functies te ontgrendelen,” zei beveiligingsonderzoeker Junestherry Dela Cruz.
“Deze campagne benadrukt hoe aanvallers klaar zijn om te bewapenen welke sociale mediaplatforms momenteel populair zijn om malware te distribueren.”
Nep -grootboek -apps die worden gebruikt om de zaadzinnen van Mac -gebruikers te stelen
De bevindingen volgen ook op de ontdekking van vier verschillende malware -campagnes die gebruikmaken van een gekloonde versie van de Ledger Live -app om gevoelige gegevens te stelen, inclusief zaadzinnen, met als doel de cryptocurrency -portefeuilles van slachtoffers af te voeren. De activiteit is sinds augustus 2024 aan de gang.
De aanvallen maken gebruik van de kwaadaardige DMG -bestanden die, wanneer gestart, AppleScript starten om wachtwoorden en Apple Notes -gegevens te exfiltreren en vervolgens een Trojanized -versie van Ledger Live downloaden. Zodra de app is geopend, waarschuwt deze gebruikers voor een verondersteld accountprobleem en dat het hun zaadzin vereist voor herstel. De ingevoerde zaadzin wordt verzonden naar een door aanvallers gecontroleerde server.
Moonlock Lab, dat licht werpt op de campagne, zei dat de Rogue Apps gebruik maken van MacOS Stealer Malware zoals Atomic MacOS Stealer (AMOS) en Odyssey, waarvan de laatste het roman Phishing-schema in maart 2025 introduceerde. Het is vermeldenswaard dat de activiteit overlapt met een MacOS Infostealer-campagne die zich richt op Ledger Live Live-gebruikers door Pyinstaller-binaries, zoals onthulde deze maand, zoals onthulde door jamf deze maand, zoals onthulde deze maand, zoals onthulde door jamf deze maand.
“Op donkere webforums groeit rond anti-geleide schema’s. De volgende golf krijgt al vorm”, aldus de cybersecurity-divisie van MacPaw. “Hackers zullen de vertrouwens die Crypto -eigenaren in Ledger Live blijven gebruiken, blijven exploiteren.”
