Ερευνητές ασφαλείας πιστεύουν ότι ένα σχετικά νέο malware με το όνομα Latrodectus αποτελεί την εξέλιξη του γνωστού IcedID loader και χρησιμοποιείται σε κακόβουλες καμπάνιες email από τον Νοέμβριο του 2023.

Το κακόβουλο λογισμικό εντοπίστηκε από ερευνητές της Proofpoint και της Team Cymru.

Το IcedID εντοπίστηκε για πρώτη φορά το 2017 και είχε αρχικά ταξινομηθεί ως modular banking trojan που είχε σχεδιαστεί για να κλέβει οικονομικές πληροφορίες. Με τον καιρό, έγινε πιο εξελιγμένο, προσθέτοντας δυνατότητες εκτέλεσης εντολών και αποφυγής του εντοπισμού.

Τα τελευταία χρόνια, χρησιμοποιούνταν ως loader για τη φόρτωση άλλων κακόβουλων λογισμικών στα μολυσμένα συστήματα (π.χ. ransomware).

Δείτε επίσης: Οι επιθέσεις malware αυξάνονται στο λιανικό εμπόριο

Από το 2022, αρκετές καμπάνιες IcedID εμφάνισαν διαφοροποιημένες τακτικές παράδοσης, αλλά η κύρια μέθοδος διανομής εξακολουθούσε να είναι η αποστολή κακόβουλων email. Στα τέλη του 2022, νέες παραλλαγές του κακόβουλου λογισμικού εμφανίστηκαν με νέες τακτικές.

Τον Φεβρουάριο του 2024, ένας από τους ηγέτες πίσω από την επιχείρηση IcedID ομολόγησε την ενοχή του στις Ηνωμένες Πολιτείες, αντιμετωπίζοντας ποινή φυλάκισης 40 ετών.

Οι ερευνητές των Proofpoint και Team Cymru πιστεύουν τώρα ότι οι προγραμματιστές του IcedID δημιούργησαν το Latrodectus malware για να ξεκινήσουν νέες επιθέσεις χωρίς να τραβήξουν την προσοχή. Σύμφωνα με τους ειδικούς, τα δύο malware έχουν κοινά στοιχεία στην υποδομή και στις λειτουργίες.

Είναι νωρίς για να πούμε αν το Latrodectus malware θα μπορέσει να αντικαταστήσει τελικά το IcedID. Ωστόσο, οι ερευνητές λένε ότι διανέμεται όλο και πιο συχνά σε καμπάνιες phishing.

Latrodectus malware: Περισσότερες πληροφορίες

Το Latrodectus εντοπίστηκε τον Νοέμβριο του περασμένου έτους και έχει χρησιμοποιηθεί από hacking ομάδες που είναι γνωστές ως TA577 και TA578. Οι επιθέσεις αυξήθηκαν κατά τον Φεβρουάριο και τον Μάρτιο του 2024.

Οι επιτιθέμενοι στέλνουν πλαστές ειδοποιήσεις παραβίασης πνευματικών δικαιωμάτων στους οργανισμούς-στόχους. Το email περιέχει έναν σύνδεσμο, που οδηγεί το θύμα σε μια διεύθυνση URL του Google Firebase, όπου γίνεται εγκατάσταση ενός JavaScript file. Όταν εκτελείται, το αρχείο JS χρησιμοποιεί το Windows installer (MSIEXEC) για την εκτέλεση ενός MSI file από ένα WebDAV share, το οποίο περιέχει το Latrodecturs DLL payload.

Δείτε επίσης: Hacks για YouTube video games περιέχουν Malware Links

Σε αντίθεση με το IcedID, το Latrodectus malware εκτελεί διάφορους ελέγχους αποφυγής του sandbox πριν εκτελεστεί στη συσκευή.

Οι έλεγχοι περιλαμβάνουν:

  • Την έκδοση Windows: εάν είναι Windows 10 ή νεότερη έκδοση, έχει τουλάχιστον 75 διεργασίες που εκτελούνται. Αν είναι παλιότερη έκδοση, υπάρχουν τουλάχιστον 50 διεργασίες που εκτελούνται.
  • Επιβεβαίωση ότι το 64-bit application εκτελείται σε 64-bit host.
  • Επιβεβαίωση ότι ο κεντρικός υπολογιστής έχει μια έγκυρη διεύθυνση MAC

Μετά τους ελέγχους, το κακόβουλο λογισμικό στέλνει μια αναφορά εγγραφής θυμάτων

στους χειριστές του.

Το Latrodectus malware μπορεί να ανακτήσει και να εγκαταστήσει περαιτέρω κακόβουλα payloads, λαμβάνοντας οδηγίες από έναν command and control (C2) server.

Οι εντολές που υποστηρίζει το Latrodectus είναι οι εξής:

  • Λήψη ονομάτων αρχείων στην επιφάνεια εργασίας
  • Λήψη της λίστας διαδικασιών που εκτελούνται
  • Αποστολή πρόσθετων πληροφοριών συστήματος
  • Εκτέλεση executable file
  • Εκτέλεση DLL
  • Πέρασμα string και cmd και εκτέλεση
  • Ενημέρωση του bot και πρόκληση επανεκκίνησης
  • Τερματισμός της διαδικασίας εκτέλεσης
  • Λήψη του “bp.dat” και εκτέλεση
  • Ορισμός ενός flag για επαναφορά του χρονισμού των επικοινωνιών
  • Επαναφορά του counter variable που χρησιμοποιείται στις επικοινωνίες

Οι ερευνητές της Proofpoint πιστεύουν ότι το Latrodectus malware μπορεί να χρησιμοποιείται πολύ πιο συχνά στο μέλλον.

Προστασία από malware

Η προστασία από malware σε έναν ψηφιακό κόσμο μπορεί να ενισχυθεί με διάφορους τρόπους. Καταρχάς, είναι απαραίτητη η εγκατάσταση ενός αξιόπιστου λογισμικού antivirus και anti-malware. Αυτό το λογισμικό εντοπίζει άμεσα τις απειλές και εμποδίζει τη μόλυνση της συσκευής. Ωστόσο, το λογισμικό θα πρέπει να ενημερώνεται τακτικά για να μπορεί να αντιμετωπίζει τις πιο πρόσφατες απειλές.

Επιπλέον, είναι σημαντικό να διατηρούνται ενημερωμένα το λειτουργικό σύστημα και όλες οι εφαρμογές. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατέψουν το σύστημα από νέες μορφές malware.

Δείτε επίσης: Malware κρύβεται σε εικόνες πιο συχνά από ότι νομίζετε

Η εκπαίδευση είναι επίσης ένας κρίσιμος παράγοντας. Οι χρήστες πρέπει να γνωρίζουν τις βασικές τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν malware (π.χ. Latrodectus), όπως τα phishing emails και τα κακόβουλα συνημμένα.

Τέλος, η χρήση δικτύων VPN και η εφαρμογή πολιτικών διαχείρισης πρόσβασης μπορεί να βοηθήσει στην προστασία των δεδομένων από μη εξουσιοδοτημένη πρόσβαση και την αποφυγή της εγκατάστασης malware.

Πηγή: www.bleepingcomputer.com