LATRODECTUS: Una Nuova Sfida per il Malware

Posted on May 19, 2024
I ricercatori di cybersecurity di Elastic Security Labs hanno identificato una minaccia in crescita sotto forma del loader LATRODECTUS. Scoperto nell’ottobre 2023, questo malware sta guadagnando popolarità tra gli attori di minacce grazie alla sua capacità di bypassare le misure di sicurezza ed eseguire codice dannoso all’interno della memoria dei processi legittimi, rendendo difficile per le soluzioni tradizionali di monitoraggio dell’esecuzione dei file rilevare i payload del malware che distribuisce.

Questo nuovo malware condivide diverse caratteristiche con il loader ICEDID, tra cui l’uso di tecniche di payload criptati e un’infrastruttura di rete simile. Nonostante sia relativamente nuovo, LATRODECTUS facilita estese operazioni post-intrusione con il suo codice leggero e minimalista.

Le tendenze recenti mostrano un aumento delle campagne email che distribuiscono questo loader. Queste campagne utilizzano JavaScript di grandi dimensioni per installazioni MSI remote tramite WMI o msiexec.exe. Dopo il crollo di QBOT e il declino di ICEDID, LATRODECTUS e PIKABOT stanno emergendo come sostituti semplificati.

LATRODECTUS si maschera inizialmente come TRUFOS.SYS di Bitdefender, necessitando di essere scompattato. Presenta una DLL con quattro esportazioni allo stesso indirizzo e utilizza operazioni aritmetiche o bitwise sui byte criptati per offuscare le stringhe. Esegue la risoluzione dinamica delle importazioni, controllando kernel32.dll e ntdll.dll, mentre altre DLL vengono sottoposte a ricerche con caratteri jolly e convalida CRC32 nella directory di sistema di Windows.

Il loader impiega diverse tecniche anti-analisi, tra cui il monitoraggio dei debugger, la convalida del numero di processi in esecuzione rispetto alle soglie della versione del sistema operativo per rilevare sandbox e macchine virtuali, il controllo dell’esecuzione WOW64 e la verifica degli indirizzi MAC validi. Utilizza un typo-mutex “runnung” e genera ID hardware o hash di campagna dai numeri di serie del volume.

Per stabilire la persistenza, il malware imposta un’attività pianificata “Updater” tramite Windows COM. Recupera domini di Comando e Controllo (C2), legge i file di dati esistenti e cripta le comunicazioni C2 utilizzando RC4. Il loader può eseguire vari comandi, tra cui scaricare o lanciare file PE, DLL, shellcode, aggiornamenti binari e distribuire ICEDID.

Per eludere la risposta agli incidenti, LATRODECTUS utilizza flussi di dati alternativi per eliminare se stesso. Le sue funzionalità principali includono la raccolta di informazioni su processi e file del desktop, l’esecuzione di codice e la comunicazione con i server C2.

Source: Cyber Security News

Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *