Latrodectus adı verilen nispeten yeni bir kötü amaçlı yazılımın, Kasım 2023'ten beri kötü niyetli e -posta kampanyalarında görülen buzlu yükleyicinin bir evrimi olduğuna inanılıyor.
Kötü amaçlı yazılım, hala kararsız ve deneysel olan yeteneklerini belgelemek için birlikte çalışan Proofpoint ve Team Cymru Team tarafından tespit edildi.
IbicedId, ilk olarak 2017'de tanımlanan ve başlangıçta enfekte bilgisayarlardan finansal bilgileri çalmak için tasarlanmış modüler bir bankacılık truva atı olarak sınıflandırılan bir kötü amaçlı yazılım ailesidir. Zamanla, kaçırma ve komuta yürütme yeteneklerini ekleyerek daha sofistike hale geldi.
Son yıllarda, fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yazılım türlerini enfekte olmuş sistemlere sunabilen bir yükleyici görevi gördü.
2022'den başlayarak, çeşitli buzlu kampanyalar çeşitlendirilmiş teslimat taktikleri gösterdi, ancak birincil dağıtım yöntemi kötü niyetli e -postalar olarak kaldı. 2022'nin sonlarında, çeşitli kaçırma hileleri ve yeni saldırı setlerini deneyen saldırılarda kötü amaçlı yazılımların yeni varyantları kullanıldı.
Şubat 2024'te, buzlu operasyonun arkasındaki liderlerden biri Amerika Birleşik Devletleri'nde 40 yıllık hapis cezasına çarptırıldı.
Proofpoint ve Team Cymru'dan araştırmacılar, IcedID geliştiricilerinin altyapı ve operasyonel örtüşmeler paylaştıklarını belirledikten sonra Latrodectus yarattıklarına inanıyorlar.
Latrodectus'un nihayetinde quicedid'in yerini alıp almayacağı söylemek için çok erkendir. Bununla birlikte, araştırmacılar, daha önce IcedID'yi dağıtan ilk erişim brokerlerinin (TA577 ve TA578) şimdi kimlik avı kampanyalarında latrodectus'u giderek daha fazla dağıtmaya başladığını söylüyor.
Latrodectus, Kasım 2023'te TA577 ve TA578 olarak izlenen tehdit aktörleri tarafından kullanıldı ve Şubat ve Mart 2024'te gözlemlenen dağıtımlarda dikkate değer bir artış oldu.
Tehdit oyuncusu, hedeflenen kuruluşlara sahte telif hakkı ihlali bildirimleri göndermek için çevrimiçi iletişim formlarını doldurarak saldırıyı başlatır.
BleepingComputer daha önce geçmişte benzer kampanyalar hakkında rapor vermiş ve bu kimlik avı saldırısına aşina olmayan site sahipleri için, alıcıları gömülü bağlantılara tıklamaya korkutabilirler.
En son kampanyalardaki bağlantı, kurbanı bir JavaScript dosyası bırakan bir Google Firebase URL'sine götürüyor. Yürütüldüğünde, JS dosyası, Latrodecturlar DLL yükünü içeren bir WebDAV Share'den bir MSI dosyası çalıştırmak için Windows Yükleyicisi (MSIExec) kullanır.
Selefi IcedID'den farklı olarak, Latrodectus, güvenlik araştırmacıları tarafından algılama ve analizden kaçınmak için cihazda çalışmadan önce çeşitli sanal alan kaçırma kontrolleri gerçekleştirir.
Çekler şunları içerir:
Gerekli ortam ve muteks kontrollerinden sonra, kötü amaçlı yazılım operatörlerine bir mağdur kayıt raporu göndererek başlatılır.
Latrodectus, bir komut ve kontrol (C2) sunucusundan alınan talimatlara göre daha fazla kötü amaçlı yükü alabilen bir indiricidir.
Latrodectus'un desteklediği komutlar şunlardır:
Kötü amaçlı yazılımların altyapısı, kampanya katılımı ve ömrü ile ilgili dinamik bir operasyon yaklaşımını izleyen iki ayrı katmana ayrılır ve çoğu yeni C2 saldırılardan önceki haftanın sonuna doğru çevrimiçi gelir.
Proofpoint, Latrodectus hakkında bir uyarı ile sona erer ve gelecekte daha önce IcicedID'yi dağıtan birden fazla tehdit aktörleri tarafından kullanılan kötü amaçlı yazılımların yüksek bir olasılığını tahmin eder.
Zeus, Icedid kötü amaçlı yazılımlar lideri suçlu, 40 yıl hapis cezasına çarptırıldı
Yeni QBOT kötü amaçlı yazılım varyantı, kaçış için sahte Adobe yükleyici açılır penceresini kullanır
Visa, finansal kuruluşları hedefleyen yeni JSoutProx kötü amaçlı yazılım varyantını uyarıyor
Siber Saldırı Hoya Corp'un Tayland Fabrikasını üç gün boyunca kapatıyor
McAfee Güvenlik Uygulaması olarak Android Pozlar için Vultur Bankacılık Kötü Yazılım
Kaynak: Bleeping Computer