Latrodectus Downloader продовжує там, де зупинився QBot

Спочатку аналітики вважали, що завантажувач є варіантом відомої шкідливої ​​програми IcedID, але виявилося, що Latrodectus — це щось зовсім нове.

Зловмисне програмне забезпечення використовується брокерами початкового доступу (IAB) у кампаніях із загрозою електронною поштою, і дослідники з Proofpoint, що стоять за відкриттям, і Team Cymru S2 Threat Research Team прогнозують, що Latrodectus продовжить набирати обертів серед учасників загроз. За словами дослідників, це значною мірою пов’язано з його здатністю уникати виявлення пісочниці.

«Після ініціалізації зловмисне програмне забезпечення перевірить своє середовище, щоб підтвердити, що воно не працює в пісочниці, підтвердивши кількість запущених процесів на пристрої, а потім перевіривши, щоб переконатися, що воно працює на 64-розрядному хості, і, нарешті, зловмисне програмне забезпечення виглядає щоб перевірити, чи хост має дійсну MAC-адресу», — йдеться в заяві Адама Ніла, інженера з виявлення загроз у Critical Start. «Ці методи ухилення від пісочниці можуть уповільнити дослідників і захисників від аналізу зразків Latrodectus».

Уперше виявлений наприкінці 2023 року, у лютому та березні спостерігалося явне зростання активності загроз за допомогою нового завантажувача, попереджає звіт.

Хоча це не а варіант IcedID, дослідники виявили, що Latrodectus — названий на честь рядка коду, знайденого під час аналізу — має схожі характеристики, що змусило команду зробити висновок, що обидва були створені одними і тими ж розробниками.

Перша група, яка використала Latrodectus у листопаді 2023 року, була TA577, і він майже виключно покладається на нього з середини січня 2024 року, йдеться у звіті. До того, як забрати Latrodectus, супротивна група використовувала IcedID, додали в ньому.

У лютому дослідники виявили, що інша група, TA578, розповсюджувала Latrodectus у рамках кампанії, яка надсилала погрози судового позову за порушення авторських прав як фішингову приманку.

Чи є Latrodectus Downloader новим QBot?

Новий завантажувач Latrodectus розташований, щоб заповнити порожнечу, залишену видалення шкідливих програм QBot (також відомий як Qakbot) влітку 2023 року, згідно із заявою Кена Данхема, директора відділу кіберзагроз відділу дослідження загроз Qualys.

«TA577 та інші учасники пов’язані з Qbot, а тепер і з новою кампанією зловмисного програмного забезпечення Latrodectus», — пояснив Данем. «Видається ймовірним, що актори, які стоять за QBot, відчули жар від видалення минулого року, перейшовши на цю нову кодову базу та інфраструктуру восени 2023 року».

Експерти радять, що усвідомлення того, що Latrodectus активно використовується в кампаніях електронною поштою, а також пильність допоможуть підприємствам захиститися від оновленого завантажувача. The новий звіт Latrodectus пропонує тактику, техніку та процедури, щоб допомогти.

«Цілком можливо, що це не остання форма Latrodectus, і вона може продовжувати рости й відрізнятися від IcedID у майбутньому», — додав Ніл. «Наразі Latrodectus розповсюджується через кампанії електронною поштою, тому потреба в обізнаності про фішинг залишається надзвичайно важливою».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off