Bedreigingsjagers hebben een nieuwe malware ontdekt genaamd Latrodectus die in ieder geval sinds eind november 2023 wordt verspreid als onderdeel van phishing-e-mailcampagnes.
“Latrodectus is een opkomende downloader met verschillende functionaliteiten voor het ontwijken van sandboxen”, zeiden onderzoekers van Proofpoint en Team Cymru in een gezamenlijke analyse die vorige week werd gepubliceerd, eraan toevoegend dat het is ontworpen om payloads op te halen en willekeurige opdrachten uit te voeren.
Er zijn aanwijzingen dat de malware waarschijnlijk is geschreven door dezelfde bedreigingsactoren achter de IcedID-malware, waarbij de downloader wordt gebruikt door initial access brokers (IAB's) om de inzet van andere malware te vergemakkelijken.
Latrodectus is voornamelijk gekoppeld aan twee verschillende IAB's die door Proofpoint worden gevolgd onder de namen TA577 (ook bekend als Water Curupira) en TA578, waarvan de eerste ook is gekoppeld aan de distributie van QakBot en PikaBot.
Sinds medio januari 2024 wordt het vrijwel uitsluitend door TA578 gebruikt bij e-mailbedreigingscampagnes, in sommige gevallen geleverd via een DanaBot-infectie.
TA578, waarvan bekend is dat het sinds mei 2020 actief is, is gekoppeld aan op e-mail gebaseerde campagnes die Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike en Bumblebee leveren.
Aanvalsketens maken gebruik van contactformulieren op websites om juridische bedreigingen met betrekking tot vermeende inbreuk op het auteursrecht naar gerichte organisaties te sturen. De links die in de berichten zijn ingebed, leiden de ontvangers naar een nepwebsite om ze te misleiden zodat ze een JavaScript-bestand downloaden dat verantwoordelijk is voor het starten van de belangrijkste payload met behulp van msiexec.
“Latrodectus zal gecodeerde systeeminformatie naar de command-and-control-server (C2) posten en de download van de bot aanvragen”, aldus de onderzoekers. “Zodra de bot zich bij de C2 registreert, verzendt hij verzoeken om opdrachten van de C2.”
Het wordt ook geleverd met mogelijkheden om te detecteren of het in een sandbox-omgeving draait door te controleren of de host een geldig MAC-adres heeft en er minstens 75 actieve processen zijn op systemen met Windows 10 of nieuwer.
Net als in het geval van IcedID is Latrodectus ontworpen om de registratie-informatie in een POST-verzoek naar de C2-server te sturen, waar de velden bestaan uit HTTP-parameters die aan elkaar zijn gekoppeld en gecodeerd, waarna het wacht op verdere instructies van de server.
Met de opdrachten kan de malware bestanden en processen opsommen, binaire bestanden en DLL-bestanden uitvoeren, willekeurige richtlijnen uitvoeren via cmd.exe, de bot bijwerken en zelfs een lopend proces afsluiten.
Uit verder onderzoek van de infrastructuur van de aanvaller blijkt dat de eerste C2-servers op 18 september 2023 tot leven kwamen. Deze servers zijn op hun beurt geconfigureerd om te communiceren met een upstream Tier 2-server die rond augustus 2023 werd opgezet.
De verbindingen van Latrodectus met IcedID komen voort uit het feit dat de T2-server “verbindingen onderhoudt met de backend-infrastructuur die is gekoppeld aan IcedID” en het gebruik van jumpboxen die voorheen verband hielden met IcedID-operaties.
“Latrodectus zal in toenemende mate worden gebruikt door financieel gemotiveerde dreigingsactoren in het criminele landschap, vooral degenen die eerder IcedID verspreidden”, oordeelde Team Cymru.
