Phần mềm độc hại mới này chia sẻ một số đặc điểm với trình tải ICEDID, bao gồm việc sử dụng các kỹ thuật tải payload mã hóa và cơ sở hạ tầng mạng tương tự. Mặc dù tương đối mới, LATRODECTUS hỗ trợ các hoạt động hậu xâm nhập mở rộng với cơ sở mã nhẹ và tối giản của nó.
Các xu hướng gần đây cho thấy sự gia tăng các chiến dịch email triển khai trình tải này. Những chiến dịch này sử dụng JavaScript quá khổ để cài đặt MSI từ xa thông qua WMI hoặc msiexec.exe. Sau sự sụp đổ của QBOT và sự suy giảm của ICEDID, LATRODECTUS và PIKABOT đang nổi lên như những sự thay thế tinh gọn.
LATRODECTUS ban đầu giả dạng thành TRUFOS.SYS từ Bitdefender, yêu cầu phải được giải nén. Nó có một DLL với bốn xuất tại cùng một địa chỉ và sử dụng các phép toán số học hoặc bitwise trên các byte mã hóa để làm mờ chuỗi. Nó thực hiện giải quyết nhập khẩu động, kiểm tra kernel32.dll và ntdll.dll, trong khi các DLL khác trải qua tìm kiếm ký tự đại diện và xác thực CRC32 trong thư mục hệ thống Windows.
Trình tải sử dụng nhiều kỹ thuật chống phân tích, bao gồm giám sát trình gỡ lỗi, xác thực số lượng quy trình đang chạy so với ngưỡng phiên bản hệ điều hành để phát hiện sandbox và VM, kiểm tra thực thi WOW64 và xác minh địa chỉ MAC hợp lệ. Nó sử dụng một lỗi đánh máy “runnung” và tạo ID phần cứng hoặc băm chiến dịch từ số sê-ri ổ đĩa.
Để thiết lập sự tồn tại, phần mềm độc hại thiết lập một tác vụ “Updater” đã lên lịch thông qua Windows COM. Nó lấy các miền Command and Control (C2), đọc các tệp dữ liệu hiện có và mã hóa liên lạc C2 bằng cách sử dụng RC4. Trình tải có thể thực thi nhiều lệnh khác nhau, bao gồm tải xuống hoặc khởi chạy tệp PE, DLL, shellcode, cập nhật nhị phân và triển khai ICEDID.
Để né tránh phản ứng sự cố, LATRODECTUS sử dụng các luồng dữ liệu thay thế để tự xóa. Các chức năng cốt lõi của nó bao gồm thu thập thông tin về các quy trình và tệp trên màn hình nền, thực thi mã và liên lạc với các máy chủ C2.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.