Спочатку аналітики вважали, що завантажувач є варіантом відомої шкідливої програми IcedID, але виявилося, що Latrodectus — це щось зовсім нове.
Зловмисне програмне забезпечення використовується брокерами початкового доступу (IAB) у кампаніях із загрозою електронною поштою, і дослідники з Proofpoint, що стоять за відкриттям, і Team Cymru S2 Threat Research Team прогнозують, що Latrodectus продовжить набирати обертів серед учасників загроз. За словами дослідників, це значною мірою пов’язано з його здатністю уникати виявлення пісочниці.
«Після ініціалізації зловмисне програмне забезпечення перевірить своє середовище, щоб підтвердити, що воно не працює в пісочниці, підтвердивши кількість запущених процесів на пристрої, а потім перевіривши, щоб переконатися, що воно працює на 64-розрядному хості, і, нарешті, зловмисне програмне забезпечення виглядає щоб перевірити, чи хост має дійсну MAC-адресу», — йдеться в заяві Адама Ніла, інженера з виявлення загроз у Critical Start. «Ці методи ухилення від пісочниці можуть уповільнити дослідників і захисників від аналізу зразків Latrodectus».
Уперше виявлений наприкінці 2023 року, у лютому та березні спостерігалося явне зростання активності загроз за допомогою нового завантажувача, попереджає звіт.
Хоча це не а варіант IcedID, дослідники виявили, що Latrodectus — названий на честь рядка коду, знайденого під час аналізу — має схожі характеристики, що змусило команду зробити висновок, що обидва були створені одними і тими ж розробниками.
Перша група, яка використала Latrodectus у листопаді 2023 року, була TA577, і він майже виключно покладається на нього з середини січня 2024 року, йдеться у звіті. До того, як забрати Latrodectus, супротивна група використовувала IcedID, додали в ньому.
У лютому дослідники виявили, що інша група, TA578, розповсюджувала Latrodectus у рамках кампанії, яка надсилала погрози судового позову за порушення авторських прав як фішингову приманку.
Чи є Latrodectus Downloader новим QBot?
Новий завантажувач Latrodectus розташований, щоб заповнити порожнечу, залишену видалення шкідливих програм QBot (також відомий як Qakbot) влітку 2023 року, згідно із заявою Кена Данхема, директора відділу кіберзагроз відділу дослідження загроз Qualys.
«TA577 та інші учасники пов’язані з Qbot, а тепер і з новою кампанією зловмисного програмного забезпечення Latrodectus», — пояснив Данем. «Видається ймовірним, що актори, які стоять за QBot, відчули жар від видалення минулого року, перейшовши на цю нову кодову базу та інфраструктуру восени 2023 року».
Експерти радять, що усвідомлення того, що Latrodectus активно використовується в кампаніях електронною поштою, а також пильність допоможуть підприємствам захиститися від оновленого завантажувача. The новий звіт Latrodectus пропонує тактику, техніку та процедури, щоб допомогти.
«Цілком можливо, що це не остання форма Latrodectus, і вона може продовжувати рости й відрізнятися від IcedID у майбутньому», — додав Ніл. «Наразі Latrodectus розповсюджується через кампанії електронною поштою, тому потреба в обізнаності про фішинг залишається надзвичайно важливою».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off
- : має
- :є
- : ні
- :де
- $UP
- 2023
- 2024
- a
- здатність
- доступ
- За
- дію
- активно
- діяльність
- актори
- Адам
- доданий
- адреса
- супротивник
- радити
- Афілійований
- після
- проти
- майже
- по
- Також
- взагалі
- серед
- кількість
- аналіз
- аналітики
- Аналізуючи
- та
- та інфраструктури
- Інший
- з'являється
- ЕСТЬ
- AS
- At
- обізнаність
- база
- BE
- було
- за
- буття
- обидва
- брокери
- але
- by
- Кампанія
- Кампанії
- CAN
- характеристика
- перевірка
- контроль
- код
- кодова база
- укладає
- підтвердити
- підтверджуючий
- продовжувати
- триває
- авторське право
- порушення авторських прав
- може
- створений
- критичний
- В даний час
- кібер-
- захищати
- Захисники
- Виявлення
- розробників
- пристрій
- диференціювати
- Директор
- відкритий
- відкриття
- чіткий
- розподілений
- розповсюдження
- робить
- вниз
- два
- під час
- інженер
- підприємств
- Навколишнє середовище
- Ефір (ETH)
- Втеча
- ухилення
- виключно
- experts
- пояснені
- Падати
- лютого
- помилка
- заповнювати
- Перший
- для
- форма
- знайдений
- від
- майбутнє
- набирає
- Group
- Рости
- Мати
- допомога
- господар
- HTTPS
- if
- важливо
- in
- неймовірно
- Інфраструктура
- порушення
- початковий
- IT
- ЙОГО
- сам
- JPG
- відомий
- великий
- останній
- Минулого року
- нарешті
- Пізно
- провідний
- залишити
- легальний
- Юридична дія
- Ймовірно
- завантажувач
- ВИГЛЯДИ
- макінтош
- зробити
- шкідливих програм
- березня
- мігруючи
- Імпульс
- більше
- Названий
- Необхідність
- Нові
- Листопад
- зараз
- of
- від
- on
- Інше
- з
- частина
- phishing
- збір
- Вибори
- plato
- Інформація про дані Платона
- PlatoData
- розташовані
- це можливо
- передбачати
- попередній
- Процедури
- процеси
- забезпечує
- покладаючись
- звітом
- дослідження
- Дослідники
- біг
- s
- Зазначений
- то ж
- sandbox
- побачити
- посланий
- аналогічний
- з
- сповільнювати
- So
- що в сім'ї щось
- старт
- Заява
- рядок
- літо
- Переконайтеся
- тактика
- команда
- методи
- Що
- Команда
- Майбутнє
- потім
- Там.
- Ці
- це
- думка
- загроза
- актори загроз
- виявлення загрози
- загрози
- по всьому
- до
- повороти
- блок
- підвищений
- використовуваний
- використання
- дійсний
- варіант
- через
- пильність
- попередили
- було
- добре відомі
- були
- волі
- з
- рік
- зефірнет