Το Latrodectus malware διανέμεται τώρα σε καμπάνιες ηλεκτρονικού “phishing” χρησιμοποιώντας ως δέλεαρ θέματα Microsoft Azure και Cloudflare για να φαίνεται νόμιμο ενώ καθιστά δυσκολότερο για τις πλατφόρμες ασφαλείας email να ανιχνεύουν τα μηνύματα ως κακόβουλα.

Δείτε επίσης: Η ομάδα Seedworm προωθεί malware μέσω εργαλείων RMM

Το Latrodectus (γνωστός και ως Unidentified 111 και IceNova) είναι ένα πρόγραμμα λήψης malware των Windows που ανακαλύφθηκε για πρώτη φορά από την ομάδα ασφαλείας της Walmart και αναλύθηκε αργότερα από τις ProofPoint και Team Cymru, το οποίο λειτουργεί ως backdoor, κατεβάζοντας επιπλέον ωφέλιμα φορτία EXE και DLL ή εκτελώντας εντολές.

Με βάση τη διανομή και την υποδομή, οι ερευνητές έχουν συνδέσει το κακόβουλο λογισμικό με τους προγραμματιστές του ευρέως διαδεδομένου αρθρωτού λογισμικού φόρτωσης IcedID.

Αν και δεν είναι γνωστό αυτή τη στιγμή εάν σχεδιάζουν να καταργήσουν σταδιακά το IcedID υπέρ του Latrodectus, το νεότερο malware χρησιμοποιείται όλο και περισσότερο σε καμπάνιες ηλεκτρονικού ψαρέματος και ανεπιθύμητα μηνύματα από τη φόρμα επικοινωνίας, για να αποκτήσει αρχική πρόσβαση σe εταιρικά δίκτυα.

Ο ερευνητής ασφαλείας ProxyLife και η ομάδα Cryptolaemus εξιστορούν τη χρήση διαφόρων θέλγητρων και θεμάτων PDF από τo Latrodectus, με την τελευταία καμπάνια να χρησιμοποιεί ένα ψεύτικο captcha Cloudflare για να αποφύγει το λογισμικό ασφαλείας.

Το Latrodectus malware διανέμεται επί του παρόντος μέσω αλληλογραφίας phishing, όταν οι κακόβουλοι παράγοντες, χρησιμοποιούν κλεμμένες συνομιλίες email και στη συνέχεια απαντούν σε αυτές με συνδέσμους που περιέχουν malware ή κακόβουλα συνημμένα.

Δείτε ακόμα: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google

Αυτή η καμπάνια χρησιμοποιεί είτε συνημμένα PDF είτε ενσωματωμένες διευθύνσεις URL για να ξεκινήσει μια αλυσίδα επίθεσης που τελικά οδηγεί στην εγκατάσταση του κακόβουλου λογισμικού Latrodectus. Τα PDF χρησιμοποιούν γενικές ονομασίες όπως “04-25-Inv-Doc-339.pdf” και προσποιούνται ότι είναι ένα έγγραφο που φιλοξενείται στο Microsoft Azure cloud, το οποίο πρέπει πρώτα να ληφθεί για να μπορέσει να προβληθεί.

Κάνοντας κλικ στο κουμπί «Λήψη εγγράφου», το Latrodectus malware θα φέρει τους χρήστες σε έναν ψεύτικο «έλεγχο ασφαλείας Cloudflare» που σας ζητά να λύσετε μια εύκολη μαθηματική ερώτηση. Αυτό το captcha είναι πιθανό να εμποδίζει τους σαρωτές ασφαλείας email και τα sandbox να ακολουθήσουν την αλυσίδα επίθεσης και να παραδίδουν μόνο το ωφέλιμο φορτίο σε έναν νόμιμο χρήστη.

Όταν εισαχθεί η σωστή απάντηση στο πεδίο, το ψεύτικο captcha του Cloudflare θα κατεβάσει αυτόματα ένα αρχείο JavaScript που προσποιείται ότι είναι ένα έγγραφο με το όνομα “Document_i79_13b364058-83054409r0449-8089z4.js“.

Το σενάριο JavaScript που έχει ληφθεί είναι πολύ ασαφές με σχόλια που περιλαμβάνουν μια κρυφή συνάρτηση που εξάγει κείμενο που ξεκινούν με ‘////’ και στη συνέχεια, εκτελεί το σενάριο για λήψη ενός MSI από μια hardcoded διεύθυνση URL.

Όταν εγκατασταθεί το αρχείο MSI, ρίχνει ένα DLL στο φάκελο %AppData%\Custom_update με όνομα Update _b419643a.dll, το οποίο στη συνέχεια εκκινείται από το rundll32.exe. Τα ονόματα αρχείων είναι πιθανώς τυχαία ανά εγκατάσταση. Αυτό το DLL είναι το Latrodectus malware, το οποίο τώρα θα εκτελείται αθόρυβα στο παρασκήνιο ενώ περιμένει να εγκατασταθούν ωφέλιμα φορτία ή να εκτελεστούν εντολές.

Δείτε επίσης: Το TheMoon malware μόλυνε 6.000 δρομολογητές της ASUS

Καθώς οι μολύνσεις από το Latrodectus malware χρησιμοποιούνται για την απόρριψη άλλου κακόβουλου λογισμικού και για την αρχική πρόσβαση σε εταιρικά δίκτυα, μπορεί να οδηγήσουν σε καταστροφικές επιθέσεις. Επομένως, εάν μια συσκευή μολυνθεί με το Latrodectus, είναι σημαντικό να θέσετε το σύστημα εκτός σύνδεσης το συντομότερο δυνατό και να αξιολογήσετε το δίκτυο για ασυνήθιστη συμπεριφορά.

Πηγή: bleepingcomputer