22/05/24
C начала марта этого года исследователи в области кибербезопасности зафиксировали резкий рост фишинговых кампаний, направленных на распространение нового загрузчика вредоносного ПО Latrodectus (в переводе «чёрная вдова»), который считается преемником IcedID.
Эксперты из Elastic Security Labs, Даниэль Степанич и Самир Буссаден, сообщили, что эти кампании используют большие файлы JavaScript, которые задействуют возможности WMI для запуска «msiexec.exe» и установки удалённо размещённого MSI-файла через WEBDAV.
Latrodectus обладает стандартными функциями, характерными для вредоносного ПО, предназначенного для скачивания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, что позволяет злоумышленникам выполнять различные постэксплуатационные действия. Анализ показал, что вредоносное ПО активно занимается перечислением и выполнением команд, а также включает технику самоудаления, пишет Securitylab.
Кроме того, Latrodectus маскируется под библиотеки, связанные с легитимным программным обеспечением, использует обфускацию исходного кода и проводит проверки на наличие анализа, чтобы предотвратить свою работу в среде отладки или песочнице.
Вредоносное ПО также устанавливает постоянное присутствие на системах Windows с помощью запланированных задач и устанавливает связь с сервером управления и контроля (C2) через HTTPS для получения команд, позволяющих собирать информацию о системе, обновляться, перезапускаться, завершать свою работу, запускать шелл-код, DLL и исполняемые файлы.
Среди новых команд, добавленных в Latrodectus с конца прошлого года, есть команды для перечисления файлов на рабочем столе и получения всей цепочки выполняемых процессов на заражённом устройстве. Вредоносное ПО также поддерживает команду для загрузки и выполнения IcedID, хотя исследователи из Elastic не зафиксировали этого поведения на практике.
«Очевидно, что между IcedID и Latrodectus существует некая связь или рабочая договорённость», — заявили эксперты. «Существует гипотеза, что Latrodectus активно разрабатывается как замена IcedID, а команда загрузки #18 была включена, пока разработчики не убедятся в возможностях нового вредоносного ПО».
Таким образом, злоумышленники постоянно совершенствуют методы распространения вредоносного ПО, создавая новые изощренные загрузчики и боты для проникновения в компьютерные системы. Они адаптируются и используют передовые техники маскировки, чтобы избежать обнаружения антивирусными программами.
Крайне важно регулярно обновлять средства безопасности, повышать осведомлённость пользователей и внедрять многоуровневую защиту для противодействия постоянно меняющимся киберугрозам.
