Cybersecurity-onderzoekers hebben vanaf begin maart 2024 een piek waargenomen in het aantal phishing-e-mailcampagnes die Latrodectus opleveren, een opkomende malware-lader die vermoedelijk de opvolger is van de IcedID-malware.
“Deze campagnes omvatten doorgaans een herkenbare infectieketen met te grote JavaScript-bestanden die gebruik maken van de mogelijkheid van WMI om msiexec.exe aan te roepen en een op afstand gehost MSI-bestand te installeren, op afstand gehost op een WEBDAV-share”, aldus Elastic Security Labs-onderzoekers Daniel Stepanic en Samir Bousseaden.
Latrodectus wordt geleverd met standaardmogelijkheden die doorgaans worden verwacht van malware die is ontworpen om extra ladingen in te zetten, zoals QakBot, DarkGate en PikaBot, waardoor bedreigingsactoren verschillende post-exploitatieactiviteiten kunnen uitvoeren.
Een analyse van de nieuwste Latrodectus-artefacten heeft een uitgebreide focus op opsomming en uitvoering aan het licht gebracht, evenals de integratie van een zelfverwijderingstechniek om actieve bestanden te verwijderen.
De malware doet zich niet alleen voor als bibliotheken die verband houden met legitieme software, maar maakt ook gebruik van verduistering van de broncode en voert anti-analysecontroles uit om te voorkomen dat de uitvoering ervan verder doorgaat in een debugging- of sandbox-omgeving.
Latrodectus zorgt ook voor persistentie op Windows-hosts met behulp van een geplande taak en brengt via HTTPS contact tot stand met een command-and-control (C2)-server om opdrachten te ontvangen waarmee deze systeeminformatie kan verzamelen; zichzelf bijwerken, opnieuw opstarten en beëindigen; en voer shellcode, DLL en uitvoerbare bestanden uit.
Twee nieuwe commando's die sinds de opkomst eind vorig jaar aan de malware zijn toegevoegd, zijn onder meer de mogelijkheid om bestanden in de desktopdirectory op te sommen en de volledige geschiedenis van het lopende proces van de geïnfecteerde machine op te halen.
Het ondersteunt verder een opdracht om IcedID (opdracht-ID 18) te downloaden en uit te voeren vanaf de C2-server, hoewel Elastic zei dat het dit gedrag niet in het wild heeft gedetecteerd.
“Er bestaat zeker een soort ontwikkelingsrelatie of werkovereenkomst tussen IcedID en Latrodectus”, aldus de onderzoekers.
“Eén hypothese die in overweging wordt genomen is dat LATRODECTUS actief wordt ontwikkeld als vervanging voor IcedID, en dat de handler (#18) werd opgenomen totdat de malware-auteurs tevreden waren met de mogelijkheden van Latrodectus.”
De ontwikkeling komt op het moment dat Forcepoint een phishing-campagne ontleedde die gebruik maakt van e-maillokmiddelen met factuurthema om de DarkGate-malware af te leveren.
De aanvalsketen begint met phishing-e-mails die zich voordoen als QuickBooks-facturen, waarin gebruikers worden aangespoord Java te installeren door op een ingesloten link te klikken die naar een kwaadaardig Java-archief (JAR) leidt. Het JAR-bestand fungeert als kanaal voor het uitvoeren van een PowerShell-script dat verantwoordelijk is voor het downloaden en starten van DarkGate via een AutoIT-script.
Social engineering-campagnes hebben ook gebruik gemaakt van een bijgewerkte versie van een phishing-as-a-service (PhaaS)-platform genaamd Tycoon om Microsoft 365- en Gmail-sessiecookies te verzamelen en multi-factor authenticatie (MFA)-beveiligingen te omzeilen.
“Deze nieuwe versie beschikt over verbeterde mogelijkheden om detectie te ontwijken, waardoor het voor beveiligingssystemen nog moeilijker wordt om de kit te identificeren en te blokkeren”, aldus Proofpoint. “Er zijn significante wijzigingen in de JavaScript- en HTML-code van de kit geïmplementeerd om de stealthie en effectiviteit ervan te vergroten.”
Deze omvatten verduisteringstechnieken om de broncode moeilijker te begrijpen te maken en het gebruik van dynamische codegeneratie om de code elke keer dat deze wordt uitgevoerd aan te passen, waardoor op handtekeningen gebaseerde detectiesystemen worden omzeild.
Andere social engineering-campagnes die in maart 2024 zijn gedetecteerd, hebben gebruik gemaakt van Google-advertenties waarin Calendly en Rufus worden nagebootst om een andere malware-lader te verspreiden, bekend als D3F@ck Loader, die voor het eerst opdook op cybercriminaliteitsforums in januari 2024, en uiteindelijk Raccoon Stealer en DanaBot lieten vallen.
“Het geval van D3F@ck Loader illustreert hoe malware-as-a-service (MaaS) blijft evolueren, waarbij (Extended Validation) certificaten worden gebruikt om vertrouwde beveiligingsmaatregelen te omzeilen”, merkte cyberbeveiligingsbedrijf eSentire eind vorige maand op.
De onthulling volgt ook op de opkomst van nieuwe stealer-malwarefamilies zoals Fletchen Stealer, WaveStealer, zEus Stealer en Ziraat Stealer, zelfs nu de Remcos remote access trojan (RAT) is opgemerkt met behulp van een PrivateLoader-module om de mogelijkheden ervan uit te breiden.
“Door het installeren van VB-scripts, het wijzigen van het register en het opzetten van services om de malware op variabele tijdstippen of door controle opnieuw op te starten, kan (Remcos) malware een systeem volledig infiltreren en onopgemerkt blijven”, aldus het dreigingsonderzoeksteam van SonicWall Capture Labs.
