Это новое вредоносное ПО имеет несколько общих черт с загрузчиком ICEDID, включая использование зашифрованных полезных данных и аналогичной сетевой инфраструктуры. Несмотря на относительную новизну, LATRODECTUS способствует проведению широкомасштабных операций после взлома благодаря своему легкому и минималистичному коду.
Недавние тенденции показывают увеличение числа кампаний по рассылке электронной почты с использованием этого загрузчика. Эти кампании используют увеличенные файлы JavaScript для удаленной установки MSI через WMI или msiexec.exe. После краха QBOT и снижения активности ICEDID, LATRODECTUS и PIKABOT становятся новыми упрощенными заменами.
LATRODECTUS первоначально маскируется под TRUFOS.SYS от Bitdefender, что требует его распаковки. Он содержит DLL с четырьмя экспортами по одному адресу и использует арифметические или побитовые операции на зашифрованных байтах для запутывания строк. Выполняет динамическое разрешение импорта, проверяя kernel32.dll и ntdll.dll, в то время как другие DLL проходят поиск с использованием подстановочных знаков и валидацию CRC32 в системном каталоге Windows.
Загрузчик использует несколько методов противодействия анализу, включая мониторинг отладчиков, проверку количества запущенных процессов относительно порогов версии ОС для обнаружения песочниц и виртуальных машин, проверку исполнения WOW64 и проверку допустимых MAC-адресов. Он использует опечатку-mutex “runnung” и генерирует идентификаторы оборудования или хеши кампаний из серийных номеров томов.
Для обеспечения постоянства вредоносное ПО настраивает запланированную задачу “Updater” через COM Windows. Оно получает домены командования и управления (C2), читает существующие файлы данных и шифрует коммуникации C2, используя RC4. Загрузчик может выполнять различные команды, включая загрузку или запуск PE-файлов, DLL, shell-кодов, бинарных обновлений и доставку ICEDID.
Чтобы избежать реагирования на инциденты, LATRODECTUS использует альтернативные потоки данных для самоуничтожения. Основные функции включают сбор информации о процессах и файлах на рабочем столе, выполнение кода и связь с серверами C2.
Source: Cyber Security News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.