Latrodectus Downloader fortsetter der QBot slapp

Først trodde analytikere at nedlasteren var en variant av velkjent skadelig programvare IcedID - men det viser seg at Latrodectus er noe helt nytt.

Skadevaren brukes av innledende tilgangsmeglere (IAB-er) i e-posttrusselskampanjer, og forskere bak oppdagelsen hos Proofpoint og Team Cymru S2 Threat Research Team spår at Latrodectus vil fortsette å få fart blant trusselaktørene. Det skyldes i stor grad dens evne til å unngå sandkassedeteksjon, sa forskerne.

"Etter initialisering vil skadelig programvare sjekke miljøet sitt for å bekrefte at det ikke kjører i en sandkasse ved å bekrefte mengden kjørende prosesser på enheten, deretter kontrollere at den kjører på en 64-bits vert, og til slutt ser skadevaren ut for å se om verten har en gyldig MAC-adresse," ifølge en uttalelse fra Adam Neel, trusseldeteksjonsingeniør ved Critical Start. "Disse sandkasseunndragelsesteknikkene kan bremse forskere og forsvarere fra å analysere prøver av Latrodectus."

Først oppdaget på slutten av 2023, har det vært en tydelig økning i trusselaktiviteten ved å bruke den nye lasteren gjennom februar og mars, advarte rapporten.

Selv om det ikke er en variant av IcedID, fant forskerne at Latrodectus - oppkalt etter en kodestreng funnet under analyse - har lignende egenskaper, noe som førte til at teamet konkluderte med at begge ble laget av de samme utviklerne.

Den første gruppen som brukte Latrodectus i november 2023 var TA577, og det har vært avhengig av det nesten utelukkende siden midten av januar 2024, heter det i rapporten. Før de hentet Latrodectus, brukte motstandergruppen IcedID, la den til.

I februar oppdaget forskere at en annen gruppe, TA578, distribuerte Latrodectus i en kampanje som sendte trusler om rettslige skritt for brudd på opphavsretten som phishing.

Er Latrodectus Downloader den nye QBot?

Den nye Latrodectus-nedlasteren er plassert for å fylle tomrommet etter fjerning av QBot malware (også kjent som Qakbot) sommeren 2023, ifølge en uttalelse fra Ken Dunham, direktør for cybertrussel ved Qualys Threat Research Unit.

"TA577 og andre aktører er tilknyttet Qbot og nå, en ny malware-kampanje, Latrodectus," forklarte Dunham. "Det virker sannsynlig at aktørene bak QBot kjente varmen fra nedtagninger i fjor, og migrerte til denne nye kodebasen og infrastrukturen høsten 2023."

Bevissthet om at Latrodectus brukes aktivt i e-postkampanjer, sammen med årvåkenhet, vil hjelpe bedrifter med å forsvare seg mot den oppgraderte nedlasteren, anbefaler eksperter. De ny Latrodectus-rapport gir taktikker, teknikker og prosedyrer for å hjelpe.

"Det er mulig at dette ikke er den siste formen for Latrodectus, og den kan fortsette å vokse og skille seg fra IcedID mer i fremtiden," la Neel til. "Latrodectus blir for tiden distribuert via e-postkampanjer, så behovet for phishing-bevissthet fortsetter å være utrolig viktig."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off