Latrodectus adı verilen nispeten yeni bir kötü amaçlı yazılımın, Kasım 2023'ten bu yana kötü amaçlı e-posta kampanyalarında görülen IcedID yükleyicisinin bir evrimi olduğuna inanılıyor.
Kötü amaçlı yazılım, hala kararsız ve deneysel olan yeteneklerini belgelemek için birlikte çalışan Proofpoint ve Team Cymru'daki araştırmacılar tarafından tespit edildi.
IcedID, ilk olarak 2017'de tanımlanan ve başlangıçta virüslü bilgisayarlardan finansal bilgileri çalmak için tasarlanmış modüler bir bankacılık truva atı olarak sınıflandırılan bir kötü amaçlı yazılım ailesidir. Zamanla, kaçınma ve komut yürütme yetenekleri eklenerek daha karmaşık hale geldi.
Son yıllarda, fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yazılım türlerini virüslü sistemlere dağıtabilen bir yükleyici görevi gördü.
2022'den itibaren çeşitli IcedID kampanyaları farklı dağıtım taktikleri sergiledi ancak birincil dağıtım yöntemi kötü amaçlı e-postalar olmaya devam etti. 2022'nin sonlarında, çeşitli kaçırma hileleri ve yeni saldırı setleri denenen saldırılarda, kötü amaçlı yazılımın yeni varyantları kullanıldı.
Şubat 2024'te IcedID operasyonunun arkasındaki liderlerden biri ABD'de suçunu kabul etti ve 40 yıl hapis cezasıyla karşı karşıya kaldı.
Proofpoint ve Team Cymru'dan araştırmacılar artık IcedID geliştiricilerinin Latrodectus'u ortak altyapı ve operasyonel örtüşmeleri paylaştıklarını belirttikten sonra oluşturduklarına inanıyor.
Latrodectus'un sonuçta IcedID'nin yerini alıp almayacağını söylemek için henüz çok erken. Ancak araştırmacılar, daha önce IcedID dağıtan ilk erişim aracılarının (TA577 ve TA578) artık Latrodectus'u kimlik avı kampanyalarında giderek daha fazla dağıtmaya başladığını söylüyor.
Yeni Latrodectus kötü amaçlı yazılımı
Latrodectus, TA577 ve TA578 olarak takip edilen tehdit aktörleri tarafından Kasım 2023'te tespit edildi ve Şubat ve Mart 2024'te gözlemlenen dağıtımlarda kayda değer bir artış yaşandı.
Tehdit aktörü, hedeflenen kuruluşlara sahte telif hakkı ihlali bildirimleri göndermek için çevrimiçi iletişim formlarını doldurarak saldırıyı başlatıyor.
BleepingComputer daha önce benzer kampanyalar hakkında rapor vermişti ve bu kimlik avı saldırısına aşina olmayan site sahipleri için bu saldırıları almak stresli olabilir ve alıcıları gömülü bağlantılara tıklama konusunda korkutabilir.
En son kampanyalardaki bağlantı, kurbanı bir JavaScript dosyası bırakan bir Google Firebase URL'sine yönlendiriyor. JS dosyası yürütüldüğünde, Latrodecturs DLL yükünü içeren bir WebDAV paylaşımından bir MSI dosyasını çalıştırmak için Windows yükleyiciyi (MSIEXEC) kullanır.
Latrodectus, selefi IcedID'den farklı olarak, güvenlik araştırmacıları tarafından tespit edilmekten ve analiz edilmekten kaçınmak için cihazda çalıştırılmadan önce çeşitli sanal alandan kaçınma kontrolleri gerçekleştirir.
Kontroller şunları içerir:
- Windows 10 veya daha yenisi varsa, en az 75 çalışan işleminiz olsun
- Windows 10'dan eskiyse en az 50 çalışan işleminiz olsun
- 64 bit uygulamanın 64 bit ana bilgisayarda çalıştığından emin olun
- Ana bilgisayarın geçerli bir MAC adresine sahip olduğundan emin olun
Gerekli ortam ve muteks kontrollerinin ardından kötü amaçlı yazılım, operatörlerine kurban kayıt raporu göndererek başlatılır.
Latrodectus, bir komuta ve kontrol (C2) sunucusundan alınan talimatlara dayanarak daha fazla kötü amaçlı yük alma kapasitesine sahip bir indiricidir.
Latrodectus'un desteklediği komutlar şunlardır:
- Masaüstündeki dosyaların dosya adlarını alın
- Çalışan işlemlerin listesini alın
- Ek sistem bilgileri gönder
- Yürütülebilir bir dosyayı yürütün
- Belirli bir dışa aktarmayla bir DLL yürütün
- Cmd'ye bir dize iletin ve yürütün
- Botu güncelleyin ve yeniden başlatmayı tetikleyin
- Çalışan işlemi kapatma
- “bp.dat” dosyasını indirin ve çalıştırın
- İletişimin zamanlamasını sıfırlamak için bir bayrak ayarlayın
- İletişimde kullanılan sayaç değişkenini sıfırlayın
Kötü amaçlı yazılımın altyapısı, kampanya katılımı ve ömrü açısından dinamik bir operasyon yaklaşımını izleyen iki farklı katmana ayrılıyor; yeni C2'lerin çoğu, saldırılardan önceki haftanın sonuna doğru çevrimiçi oluyor.
Proofpoint, Latrodectus hakkında bir uyarıyla son buluyor ve kötü amaçlı yazılımın daha önce IcedID dağıtan birden fazla tehdit aktörü tarafından gelecekte kullanılması olasılığının yüksek olduğunu tahmin ediyor.