اكتشف صائدو التهديدات برنامجًا ضارًا جديدًا يسمى Latrodectus تم توزيعه كجزء من حملات التصيد عبر البريد الإلكتروني منذ أواخر نوفمبر 2023 على الأقل.
وقال باحثون من Proofpoint وTeam Cymru في تحليل مشترك نُشر الأسبوع الماضي: "Latrodectus هو برنامج تنزيل صاعد مع وظائف مختلفة للتهرب من وضع الحماية"، مضيفًا أنه مصمم لاسترداد الحمولات وتنفيذ الأوامر التعسفية.
هناك أدلة تشير إلى أن البرامج الضارة من المحتمل أن تكون مكتوبة من قبل نفس الجهات الفاعلة التي تقف وراء البرنامج الضار IcedID ، مع استخدام برنامج التنزيل من قبل وسطاء الوصول الأولي (IABs) لتسهيل نشر البرامج الضارة الأخرى.
تم ربط Latrodectus بشكل أساسي بـ IABs مختلفين تتبعهما Proofpoint تحت الاسمين TA577 (المعروف أيضًا باسم Water Curupira) وTA578، وقد تم ربط الأول أيضًا بتوزيع QakBot وPikaBot.
اعتبارًا من منتصف يناير 2024، تم استخدامه بشكل حصري تقريبًا بواسطة TA578 في حملات التهديد عبر البريد الإلكتروني، وفي بعض الحالات يتم تسليمها عبر عدوى DanaBot .
تم ربط TA578، المعروف بأنه نشط منذ مايو 2020 على الأقل، بحملات عبر البريد الإلكتروني تقدم Ursnif وIcedID وKPOT Stealer وBuer Loader وBazaLoader وCobalt Strike وBumblebee.
تستفيد سلاسل الهجوم من نماذج الاتصال الموجودة على مواقع الويب لإرسال تهديدات قانونية تتعلق بانتهاك حقوق الطبع والنشر المزعوم إلى المنظمات المستهدفة. تقوم الروابط المضمنة في الرسائل بتوجيه المستلمين إلى موقع ويب مزيف لخداعهم لتنزيل ملف JavaScript المسؤول عن تشغيل الحمولة الرئيسية باستخدام msiexec .
وقال الباحثون: "سوف يقوم Latrodectus بنشر معلومات النظام المشفرة إلى خادم القيادة والتحكم (C2) ويطلب تنزيل الروبوت". "بمجرد أن يسجل الروبوت لدى C2، فإنه يرسل طلبات لأوامر من C2."
لاتروديكتوس
كما يأتي مزودًا بإمكانيات اكتشاف ما إذا كان يعمل في بيئة وضع الحماية عن طريق التحقق مما إذا كان المضيف لديه عنوان MAC صالح وهناك ما لا يقل عن 75 عملية قيد التشغيل على الأنظمة التي تعمل بنظام التشغيل Windows 10 أو أحدث.
كما هو الحال في IcedID، تم تصميم Latrodectus لإرسال معلومات التسجيل في طلب POST إلى خادم C2 حيث تكون الحقول عبارة عن معلمات HTTP مربوطة معًا ومشفرة، وبعد ذلك ينتظر المزيد من التعليمات من الخادم.
تسمح الأوامر للبرامج الضارة بتعداد الملفات والعمليات، وتنفيذ الثنائيات وملفات DLL، وتشغيل توجيهات عشوائية عبر cmd.exe، وتحديث الروبوت، وحتى إيقاف تشغيل عملية قيد التشغيل.
ويكشف فحص إضافي للبنية التحتية للمهاجم أن خوادم C2 الأولى عادت إلى الحياة في 18 سبتمبر 2023. وتم تكوين هذه الخوادم بدورها للتواصل مع خادم من المستوى 2 تم إعداده في أغسطس 2023 تقريبًا.
تنبع اتصالات Latrodectus بـ IcedID من حقيقة أن خادم T2 "يحتفظ بالاتصالات مع البنية التحتية الخلفية المرتبطة بـ IcedID" واستخدام مربعات الانتقال المرتبطة سابقًا بعمليات IcedID.
"سيصبح Latrodectus مستخدمًا بشكل متزايد من قبل جهات التهديد ذات الدوافع المالية عبر المشهد الإجرامي، وخاصة أولئك الذين قاموا سابقًا بتوزيع IcedID،" قام فريق Cymru بتقييم .
المصدر: The Hacker news