Latrodectus adı verilen yeni (indirme) yükleyici kötü amaçlı yazılım, ilk erişim aracıları tarafından kullanılıyor ve IcedID yükleyiciyi oluşturan aynı geliştiriciler tarafından yazılmış gibi görünüyor.
Kötü amaçlı yazılım dağıtım kampanyaları
“[Latrodectus] Proofpoint ve Team Cymru araştırmacıları, kötü amaçlı yazılımın ilk olarak 2023’teki kötü amaçlı yazılım kesintisinden önce üretken bir Qbot dağıtıcısı olarak bilinen bir IAB olan TA577 tarafından dağıtıldığı gözlemlendi. TA577, Pikabot’a dönmeden önce Kasım 2023’te en az üç kampanyada Latrodectus’u kullandı.
TA577’nin yakın zamanda çalışanların NTLM hash’lerini çalmak için bubi tuzaklı e-posta eklerini kullandığı da tespit edildi; bu, muhtemelen kurumsal sistemlere kötü amaçlı yazılım veya fidye yazılımı bırakmadan önce keşif yapmak amacıyla yapıldı.
Bu yılın başından bu yana Latrodectus neredeyse yalnızca TA578 olarak tanımlanan başka bir IAB tarafından kullanılıyor.
“Bu aktör genellikle bir hedefle sohbet başlatmak için iletişim formlarını kullanıyor. 20 Şubat 2024’te Proofpoint araştırmacıları, TA578’in telif hakkı ihlali iddialarıyla ilgili yasal tehditler göndermek için çeşitli şirketlerin kimliğine büründüğünü gözlemledi. Aktör, birden fazla hedefin web sitesinde, benzersiz URL’ler içeren ve URI’de hem iletişim formunu başlatan sitenin alan adını (hedef) hem de kimliğine bürünülen şirketin adını içeren bir iletişim formu doldurdu. Telif hakkı şikayetinin meşruiyeti),” diye paylaştı Proofpoint.
Kötü niyetli iletişim formu gönderimi (Kaynak: Proofpoint)
“Bağlantı ziyaret edildiyse hedef, hem hedefin alan adını hem de telif hakkı ihlalini bildiren kimliğine bürünülmüş şirketin (TA578) adını gösterecek şekilde kişiselleştirilmiş bir açılış sayfasına yönlendiriliyordu. URL daha sonra Google Firebase URL’sinden bir JavaScript dosyası indirdi. Bu JavaScript yürütüldüyse, WebDAV paylaşımından bir MSI çalıştırmak için MSIEXEC çağrıldı. MSI, Latrodectus’u çalıştırmak için birlikte verilen DLL dosyasını dışa aktarma ‘fin’iyle birlikte yürüttü.”
Kötü amaçlı yazılım, yüklemeden önce hata ayıklayıcıları kontrol etme, işletim sistemi ve çalıştırma işlemleri hakkında bilgi toplama, dosyaları yürütme, hedef makinede kalıcı olacak zamanlanmış bir görev oluşturma ve daha fazlasını yapma yeteneğine sahiptir. Ayrıca araştırmacılar tarafından tespit edilip analiz edilmekten kaçınmak için çeşitli sanal alandan kaçınma teknikleri de kullanıyor.
IcedID’ye bağlantılar
Proofpoint, “Latrodectus’ta gözlemlenen kampanya kimliklerinin dize hashing tekniklerinin araştırılması, araştırmacıların önceki IcedID kampanyalarındaki yeni kalıpları belirlemesine yardımcı oldu” diyor.
IcedID ile ilişkili arka uç altyapısının kullanımı ve aynı spesifik atlama kutularının kullanımı da dahil olmak üzere, IcedID yaratıcılarının Latrodectus’un işleyişine dahil olduğuna işaret eden birçok şey var.
Araştırmacılar, kampanya kimliklerini gizlemek için kullanılan dize karma tekniklerini araştırırken aynı zamanda bunları daha önce gözlemlenen IcedID kampanya kimliklerini kaba kuvvetle uygulamak için de kullandılar.