Istraživači cyber sigurnosti primijetili su porast u kampanjama phishinga e-pošte počevši od početka marta 2024. koji isporučuju Latrodectus , učitavač zlonamjernog softvera u nastajanju za koji se vjeruje da je nasljednik IcedID malvera.
Latrodectus dolazi sa standardnim mogućnostima koje se obično očekuju od zlonamjernog softvera dizajniranog za implementaciju dodatnih korisnih opterećenja kao što su QakBot, DarkGate i PikaBot , omogućavajući hakerima da provode različite aktivnosti nakon eksploatacije.
Analiza najnovijih Latrodectus artifacts je otkrila širok fokus na nabrajanju i izvršavanju, kao i na ugradnju tehnike samobrisanja za brisanje pokrenutih datoteka.
Zlonamjerni softver, osim što se maskira u biblioteke povezane s legitimnim softverom, koristi zamagljivanje izvornog koda i provodi anti-analitske provjere kako bi spriječio dalje njegovo izvršavanje u okruženju za otklanjanje grešaka ili zaštićenom okruženju.
Latrodectus takođe postavlja postojanost na Windows hostovima koristeći zakazani zadatak i uspostavlja kontakt sa serverom za komandu i kontrolu (C2) preko HTTPS-a da bi primio komande koje mu omogućavaju da prikuplja informacije o sistemu; ažurirati, ponovo pokrenuti i prekinuti se; i pokreniti shellcode, DLL i izvršne datoteke.
Dvije nove komande dodane malveru od njegovog pojavljivanja krajem prošle godine uključuju mogućnost nabrajanja datoteka u desktop direktoriju i preuzimanja cjelokupnog pokrenutog procesa sa zaražene mašine.
I dalje podržava naredbu za preuzimanje i izvršavanje IcedID-a (ID naredbe 18) sa C2 servera.
“Definitivno postoji neka vrsta razvojne veze ili radnog dogovora između IcedID-a i Latrodectusa”, rekli su istraživači.
“Jedna hipoteza koja se razmatra je da se LATRODECTUS aktivno razvija kao zamjena za IcedID, a rukovalac (#18) je uključen sve dok autori zlonamjernog softvera nisu bili zadovoljni Latrodectusovim mogućnostima.”
Razvoj dolazi nakon što je Forcepoint analizirao phishing kampanju koja koristi mamce e-pošte s temom faktura za isporuku DarkGate zlonamjernog softvera .
Lanac napada počinje sa phishing e-mailovima koji se predstavljaju kao QuickBooks fakture, pozivajući korisnike da instaliraju Javu klikom na ugrađenu vezu koja vodi do zlonamjerne Java arhive (JAR). JAR datoteka djeluje kao kanal za pokretanje PowerShell skripte odgovorne za preuzimanje i pokretanje DarkGate-a putem AutoIT skripte.
Kampanje socijalnog inženjeringa su takođe koristile napredniju verziju phishing-as-a-service (PhaaS) platforme pod nazivom Tycoon za prikupljanje Microsoft 365 i Gmail kolačića sesije i zaobilaženje zaštite višefaktorske autentifikacije (MFA).
“Ova nova verzija ima poboljšane mogućnosti izbjegavanja otkrivanja koje dodatno otežavaju sigurnosnim sistemima da identifikuju i blokiraju komplet”, rekao je Proofpoint . “Značajne izmjene u JavaScript i HTML kodu kompleta su implementirane kako bi se povećala njegova skrivenost i efikasnost.”
To uključuje tehnike zamagljivanja kako bi izvorni kod bio teži za razumijevanje i korištenje dinamičkog generiranja koda za podešavanje koda svaki put kada se pokrene, čime se izbjegavaju sistemi detekcije zasnovani na potpisu.
Druge kampanje društvenog inženjeringa koje su otkrivene u martu 2024. iskoristile su Google oglase koji se imitiraju kao Calendly i Rufus kako bi propagirali još jedan učitavač zlonamjernog softvera poznat kao D3F@ck Loader, koji se prvi put pojavio na forumima o cyber kriminalu u januaru 2024., i na kraju izbacio Raccoon Stealer i DanaBot .
„Slučaj D3F@ck Loader-a ilustruje kako malware-as-a-service (MaaS) nastavlja da se razvija, koristeći [Extended Validation] sertifikate za zaobilaženje pouzdanih sigurnosnih mjera,” primijetila je kompanija eSentire za cyber sigurnost krajem prošlog mjeseca.
Otkrivanje takođe prati pojavu novih familija malvera za krađu kao što su Fletchen Stealer , WaveStealer , zEus Stealer i Ziraat Stealer , čak i kada je Remcos trojanac za daljinski pristup (RAT) primećen kako koristi PrivateLoader modul za povećanje svojih mogućnosti.
“Instaliranjem VB skripti, promjenom registra i postavljanjem usluga za ponovno pokretanje zlonamjernog softvera u promjenjivim vremenima ili kontrolom, [Remcos] zlonamjerni softver je u stanju da se u potpunosti infiltrira u sistem i ostane neotkriven”, rekao je tim za istraživanje prijetnji SonicWall Capture Labs .
Izvor:The Hacker News