Aquest nou programari maliciós comparteix diverses característiques amb el carregador ICEDID, incloent-hi l’ús de tècniques de càrrega útil encriptada i una infraestructura de xarxa similar. Tot i ser relativament nou, LATRODECTUS facilita extenses operacions posteriors a la intrusió amb el seu codi lleuger i minimalista.
Les tendències recents mostren un augment de les campanyes de correu electrònic que despleguen aquest carregador. Aquestes campanyes utilitzen JavaScript de gran mida per a instal·lacions remotes de MSI mitjançant WMI o msiexec.exe. Després del col·lapse de QBOT i la disminució de ICEDID, LATRODECTUS i PIKABOT estan emergint com a reemplaçaments simplificats.
LATRODECTUS inicialment es disfressa com a TRUFOS.SYS de Bitdefender, la qual cosa requereix ser descomprimida. Presenta una DLL amb quatre exportacions a la mateixa adreça i utilitza operacions aritmètiques o bitwise en bytes encriptats per ofuscar cadenes. Realitza la resolució dinàmica d’importacions, verificant kernel32.dll i ntdll.dll, mentre que altres DLL es sotmeten a cerques amb comodins i validació CRC32 en el directori del sistema de Windows.
El carregador empra diverses tècniques anti-anàlisi, incloent-hi el monitoratge de depuradors, la validació del recompte de processos en execució contra els llindars de la versió del sistema operatiu per detectar sandboxes i màquines virtuals, la verificació de l’execució WOW64 i la verificació d’adreces MAC vàlides. Utilitza un typo-mutex “runnung” i genera identificadors de maquinari o hashes de campanya a partir de números de sèrie de volum.
Per establir persistència, el programari maliciós configura una tasca programada “Updater” mitjançant COM de Windows. Recupera dominis de Comandament i Control (C2), llegeix fitxers de dades existents i encripta les comunicacions C2 utilitzant RC4. El carregador pot executar diversos ordres, incloent-hi la descàrrega o llançament de fitxers PE, DLL, shellcodes, actualitzacions binàries i la distribució de ICEDID.
Per eludir la resposta a incidents, LATRODECTUS utilitza fluxos de dades alternatius per eliminar-se a si mateix. Les seves funcionalitats principals inclouen la recopilació d’informació sobre processos i fitxers d’escriptori, l’execució de codi i la comunicació amb servidors C2.
Source: Cyber Security News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.