Latrodectus Loader postaje popularan

AUTOR ·

Latrodectus je porodica zlonamjernog softvera koja je privukla značajnu pažnju sigurnosnih istraživača kompanije Elastic Security Labs zbog svojih naprednih mogućnosti i skrivene prirode. Latrodectus nudi sveobuhvatan opseg standardnih mogućnosti koje zlonamjerni akteri mogu da iskoriste za raspoređivanje daljeg korisnog opterećenja, izvodeći različite aktivnosti nakon početnog kompromisa.

Latrodectus

Latrodectus Loader postaje popularan; Source: Bing Image Creator

LATRODECTUS

Latrodectus je vrsta softvera za učitavanje zlonamjernog softvera koji se pojavljuje kao nasljednik IcedID zlonamjernog softvera u phishing kampanjama počevši od početka marta 2024. godine. Dolazi sa standardnim mogućnostima za primjenu dodatnih korisnih podataka i sprovođenje aktivnosti nakon eksploatacije, kao što su nabrajanje, izvršavanje, tehnika samobrisanja, maskiranje u legitiman softver, zamagljivanje izvornog kôda i provjere protiv analize. Latrodectus podešava postojanost na Windows uređajima koristeći zakazani zadatak i uspostavlja kontakt sa serverom za komandu i kontrolu (C2) preko HTTPS protokola radi primanja komandi.

 

Kampanja

Kampanja Latrodectus je serija phishing poruka elektronske pošte koja je počela početkom marta 2024. godine, isporučujući novi softver za učitavanje zlonamjernog softvera pod nazivom Latrodectus. Vjeruje se da je ovaj zlonamjerni softver nasljednik IcedID zlonamjernog softvera. Kampanje uključuju prevelike JavaScript datoteke koje koriste WMI mogućnost da instaliraju udaljeno uskladištene MSI datoteke sa WEBDAV dijeljene lokacije.

Latrodectus dolazi sa standardnim mogućnostima za primjenu dodatnih korisnih opterećenja kao što su QakBot, DarkGate, PikaBot i ima širok fokus na tehnike nabrajanja, izvršavanja i samobrisanja. Dvije nove komande su dodate od njegovog pojavljivanja krajem prošle godine: mogućnost nabrajanja datoteka u direktorijumu radne površine i preuzimanja cjelokupnog pokrenutog procesa sa zaražene mašine. Pored toga, Latrodectus podržava komandu za preuzimanje i izvršavanje IcedID sa C2 servera. Slični obrasci nabrajanja, izvoza i C2 saobraćaja pronađeni su u njegovoj IcedID komponenti, što sugeriše razvojne veze.

 

Funkcionisanje

Latrodectus zlonamjerni softver se maskira u biblioteke povezane sa legitimnim softverom, koristi zamagljivanje izvornog kôda i vrši provjere protiv analize kako bi spriječio izvršenje u okruženjima za otklanjanje grešaka ili izolovanim okruženjima (eng. sandboxes). Ovaj zlonamjerni softver prati složen skup uslova pre nego što izvrši namjeravane radnje. Ponašanje zlonamjernog softvera može se podijeliti na nekoliko provjera, od kojih je svaka dizajnirana da zaobiđe određene bezbjednosne mjere i obezbijedi najoptimalnije okruženje za infekciju.

Prvo, ako je program za otklanjanje grešaka (eng. debugger) identifikovan tokom procesa izvršenja, Latrodectus će se odmah prekinuti. Ova provjera je na mjestu da bi se spriječila analiza ili obrnuti inženjering zlonamjernog softvera. Identifikacija program za otklanjanje grešaka se vrši korišćenjem bloka procesnog okruženja (eng. Process Environment Block – PEB) u okviru Windows operativnih sistema.

Drugo, koriste se dvije provjere valjanosti da bi se utvrdilo da li trenutna verzija operativnog sistema i broj aktivnih procesa ispunjavaju određene kriterijume. Ovi uslovi imaju za cilj da izbjegnu izolovana okruženja ili virtuelne mašine sa malim brojem pokrenutih procesa i starijim verzijama operativnog sistema. Konkretno, Latrodectus se neće izvršiti ako je:

  • Broj procesa manji od 75, a verzija operativnog sistema se smatra novijom (Windows 10, Windows Server 2016 i Windows 11),
  • Broj procesa manji od 50, a verzija operativnog sistema je starija verzija (Windows Server 2003 R2, Windows XP, Windows 2000, Windows 7, Windows 8 i Windows Server 2012/R2).

Treće, Latrodectus provjerava da li se trenutni proces izvodi pod WOW64 (eng. Windows on Windows64), podsistemu Windows operativnih sistema koji omogućava 32-bitnim aplikacijama da rade na 64-bitnim sistemima. Ako je ovaj uslov ispunjen, što znači da se zlonamjerni softver izvršava kao 32-bitna aplikacija na 64-bitnom operativnom sistemu, Latrodectus se neće izvršiti.

Na kraju, Latrodectus provjerava MAC adresu trenutnog sistema. Ako tokom ove provjere nije otkrivena važeća MAC adresa, zlonamjerni softver se takođe prekida.

 

Postojanost

Latrodectus podešava postojanost na Windows uređajima koristeći zakazani zadatak i čvrsto kodirani naziv zadatka “Updater”. Zadatak je planiran da se izvrši nakon uspješnog prijavljivanja radi nastavka pristupa i izvršavanja zlonamjernog softvera.

 

Samobrisanje

Latrodectus je vrsta zlonamjernog softvera koji uključuje tehniku samobrisanja. To znači da dok zlonamjerni softver još uvijek aktivno radi na zaraženom sistemu, može da se izbriše kako bi ometao procese reagovanja na incidente i analizu. Ovaj zlonamjerni softver koristi alternativne tokove podataka da izbriše datoteku zlonamjernog softvera dok je još uvijek pokrenuta.

 

Komunikacija

Latrodectus komunicira sa svojim serverom za komandu i kontrolu (C2) preko HTTPS protokola koristeći šifrovane zahteve koji su base64 i RC4 kodirani sa tvrdo kodiranom lozinkom 12345. Prvi POST zahtev poslat na C2 server uključuje informacije o žrtvi i detalje o konfiguraciji, registrujući zaražene sistema. Glavni obrađivači događaja se prosljeđuju kroz tip objekta COMMAND zajedno sa njihovim odgovarajućim ID rukovaoca. Pored toga, postoji tip objekta CLEARURL koji se koristi za brisanje svih konfigurisanih domena iz perspektive zlonamjernog softvera.

 

ZAKLJUČAK

Latrodectus je softvera za učitavanje zlonamjernog softvera koji dolazi sa standardnim mogućnostima za primjenu dodatnih korisnih opterećenja i uključuje nekoliko provjera na osnovu broja procesa i verzije operativnog sistema, kao i drugih faktora da bi se izbjeglo otkrivanje od strane programa za otklanjanje grešaka ili izolovanih okruženja. Pored toga, u njegovom arsenalu su mogućnosti uspostavljanja postojanost na Windows uređajima, prikupljanje sistemskih informacija i primanje komandi sa C2 servera.

Pojava Latrodectus softvera za učitavanje zlonamjernog softvera označava evoluciju taktike zlonamjernih aktera, demonstrirajući njihovu sposobnost da se prilagode i inoviraju kao odgovor na promjenu pejzaža sajber bezbednosti. Zbog toga je za preduzeća i pojedince ključno da budu informisani o novim prijetnjama kao što je Latrodectus i da preduzmu odgovarajuće mjere da zaštite svoje sisteme od potencijalnih napada.

 

ZAŠTITA

Kako bi se zaštitili od Latrodectus zlonamjernog softvera, neophodno je primijetiti višeslojni bezbjednosni pristup koji uključuje sljedeće preporuke:

  1. Uvjeriti se da su svi operativni sistemi i aplikacije ažurirani najnovijim ažuriranjima i bezbjednosnim ispravkama. Ovo pomaže u sprečavanju napadača da iskoriste poznate ranjivosti,
  2. Koristiti pouzdano antivirusno rješenje koje može da otkrije i ukloni Latrodectus zlonamjerni softver i druge prijetnje. Redovno ažurirati antivirusni softver kako bi se osiguralo da ima najnovije definicije,
  3. Biti oprezan sa prilozima i vezama elektronske pošte i izbjegavati otvaranje sumnjivih elektronskih poruka ili klikanje na veze iz nepoznatih izvora, jer one mogu sadržati zlonamjerne sadržaje koji mogu da preuzmu i instaliraju Latrodectus ili drugi zlonamjerni softver,
  4. Koristiti zaštitni zid i konfigurisati ga da blokira dolazni saobraćaj sa poznatih zlonamjernih IP adresa i portova. Ovo pomaže u sprečavanju neovlaštenog pristupa sistemu i širenja zlonamjernog softvera,
  5. Omogućiti Windows funkcionalnost sprečavanja izvršavanja podataka (eng. Data Execution Prevention – DEP) koja sprečava izvršavanje kôda iz oblasti memorije koje nisu namijenjene za to, kao što su stack ili heap. Omogućavanje DEP funkcionalnosti može pomoći u sprečavanju određenih vrsta napada, uključujući one koji koriste komandno okruženje za izvršavanje zlonamjernog kôda,
  6. Uvjeriti se da svi korisnički nalozi imaju jake i jedinstvene lozinke koje napadači ne mogu lako pogoditi ili provaliti. Ovo pomaže u sprečavanju neovlaštenog pristupa sistemu i širenja zlonamjernog softvera,
  7. Primijeniti bijelu listu aplikacija koja dozvoljava samo odobrenim aplikacijama da rade na korisničkom sistemu, dok blokira sve ostale. Ovo može pomoći da se spriječi instaliranje nepoznatog ili neželjenog softvera i izvršavanje zlonamjernog kôda,
  8. Koristiti izolovana okruženja za testiranje i analizu sumnjive datoteke ili elektronske poruke, kako bi bili izolovani od ostatka mreže. Ovo pomaže u sprečavanju širenja potencijalnog zlonamjernog softvera ako se datoteke ili elektronske poruke pokažu kao zlonamjerne,
  9. Osigurati redovno pravljenje rezervnih kopija podataka obezbeđujući da se svi kritični podaci nalaze u rezervnoj kopiji i čuvaju van lokacije ili na zasebnom sistemu. U slučaju uspješnog napada, posjedovanje rezervnih kopija može pomoći da se minimizira vreme zastoja i gubitak podataka,
  10. Obučiti zaposlene da prepoznaju phishing elektronsku poštu, sumnjive veze i druge taktike društvenog inženjeringa koje koriste napadači za distribuciju zlonamjernog softvera. Ovo pomaže u sprečavanju slučajnih infekcija koje mogu dovesti do većih posljedica unutar organizacije.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.