Latrodectus kötü amaçlı yazılımı artık Microsoft Azure ve Cloudflare kullanan kimlik avı kampanyalarında dağıtılıyor ve yasal görünmeye teşvik ederken e-posta güvenlik platformlarının e-postaları kötü amaçlı olarak algılamasını zorlaştırıyor.
Latrodectus (diğer adıyla Unidentified 111 ve IceNova), ilk olarak Walmart’ın güvenlik ekibi tarafından keşfedilen ve daha sonra ProofPoint ve Team Cymru tarafından analiz edilen, arka kapı görevi gören, ek EXE ve DLL yükleri indiren veya komutları çalıştıran, giderek dağıtılan bir Windows kötü amaçlı yazılım indiricisidir.
Dağıtım ve altyapıyı temel alan araştırmacılar, kötü amaçlı yazılımı geniş çapta dağıtılan IcedID modüler kötü amaçlı yazılım yükleyicisinin geliştiricileriyle ilişkilendirdi.
Şu anda Latrodectus lehine IcedID’yi aşamalı olarak kaldırmayı planlayıp planlamadıkları bilinmemekle birlikte, yeni kötü amaçlı yazılım, kurumsal ağlara ilk erişim sağlamak için kimlik avı kampanyalarında ve iletişim formu spam’ında giderek daha fazla kullanılıyor.
Güvenlik araştırmacısı ProxyLife ve Cryptolaemus grubunun sahip olduğu kronikleştiriyordum Latrodectus’un çeşitli PDF yemleri ve temaları kullanması ve son kampanyada güvenlik yazılımından kaçmak için sahte bir Cloudflare captcha’nın kullanılması.
Bir e-postayla başlar
Latrodectus şu anda yanıt zinciri kimlik avı e-postaları yoluyla dağıtılıyor; bu, tehdit aktörlerinin çalıntı e-posta alışverişlerini kullanması ve ardından bunlara kötü amaçlı yazılım veya kötü amaçlı eklentilerin bağlantılarıyla yanıt vermesi anlamına geliyor.
ProxyLife, BleepingComputer’a, bu kampanyanın sonunda Latrodectus kötü amaçlı yazılımının yüklenmesine yol açacak bir saldırı zincirini başlatmak için PDF ekleri veya gömülü URL’ler kullandığını söyledi.
Kaynak: BleepingComputer
PDF’ler ’04-25-Inv-Doc-339.pdf’ gibi genel adlar kullanacak ve Microsoft Azure bulutunda barındırılan ve görüntülenmesi için önce indirilmesi gereken bir belge gibi davranacak.
Kaynak: BleepingComputer
‘Belgeyi İndir’ düğmesine tıklamak, kullanıcıları sizden kolay bir matematik sorusunu çözmenizi isteyen sahte bir ‘Cloudflare güvenlik kontrolüne’ yönlendirecektir. Bu captcha muhtemelen e-posta güvenlik tarayıcılarının ve korumalı alanların saldırı zincirini kolayca takip etmesini ve yükü yalnızca yasal bir kullanıcıya teslim etmesini engelleyecektir.
Alana doğru cevap girildiğinde sahte Cloudflare captcha, “Document_i79_13b364058-83054409r0449-8089z4.js” benzeri bir belge gibi görünen bir JavaScript dosyasını otomatik olarak indirecektir.
Kaynak: BleepingComputer
İndirilen JavaScript komut dosyası, ‘////’ ile başlayan yorumlardan metin çıkaran ve ardından aşağıdaki kodu çözülmüş komut dosyasında gösterildiği gibi sabit kodlanmış bir URL’den bir MSI indirmek için komut dosyasını çalıştıran gizli bir işlev içeren yorumlarla büyük ölçüde gizlenmiştir.
Kaynak: BleepingComputer
MSI dosyası yüklendiğinde, %AppData%\Custom_update klasörüne Update _b419643a.dll adlı bir DLL düşer ve bu daha sonra rundll32.exe tarafından başlatılır. Dosya adları muhtemelen kurulum başına rastgeledir.
Kaynak: BleepingComputer
Bu DLL, artık yüklerin yüklenmesini veya komutların yürütülmesini beklerken arka planda sessizce çalışacak olan Latrodectus kötü amaçlı yazılımıdır.
Latrodectus kötü amaçlı yazılım enfeksiyonları, diğer kötü amaçlı yazılımları bırakmak ve kurumsal ağlara ilk erişim için kullanıldığından, yıkıcı saldırılara yol açabilir.
Şu anda, kötü amaçlı yazılımın Lumma bilgi hırsızını düşürdüğü gözlemlendi ve Yakında gelecek. Ancak Latrodectus’un IcedID ile bağlantılı olması nedeniyle bu saldırılar gelecekte Cobalt Strike gibi daha geniş yelpazede kötü amaçlı yazılımların ortaya çıkmasına yol açabilir ve fidye yazılımı çeteleriyle ortaklıklar da görebiliriz.
Bu nedenle, bir cihaza Latrodectus bulaşırsa sistemi mümkün olan en kısa sürede çevrimdışına almak ve ağı olağandışı davranış açısından değerlendirmek kritik öneme sahiptir.