Осторожно, чёрная вдова: Latrodectus плетёт смертоносную сеть для ваших данных

C начала марта этого года исследователи в области кибербезопасности зафиксировали резкий рост фишинговых кампаний, направленных на распространение нового загрузчика вредоносного ПО Latrodectus (в переводе «чёрная вдова»), который считается преемником IcedID .

Эксперты из Elastic Security Labs , Даниэль Степанич и Самир Буссаден, сообщили, что эти кампании используют большие файлы JavaScript, которые задействуют возможности WMI для запуска «msiexec.exe» и установки удалённо размещённого MSI-файла через WEBDAV.

Latrodectus обладает стандартными функциями, характерными для вредоносного ПО, предназначенного для скачивания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, что позволяет злоумышленникам выполнять различные постэксплуатационные действия. Анализ показал, что вредоносное ПО активно занимается перечислением и выполнением команд, а также включает технику самоудаления.

Кроме того, Latrodectus маскируется под библиотеки, связанные с легитимным программным обеспечением, использует обфускацию исходного кода и проводит проверки на наличие анализа, чтобы предотвратить свою работу в среде отладки или песочнице.

Вредоносное ПО также устанавливает постоянное присутствие на системах Windows с помощью запланированных задач и устанавливает связь с сервером управления и контроля ( C2 ) через HTTPS для получения команд, позволяющих собирать информацию о системе, обновляться, перезапускаться, завершать свою работу, запускать шелл-код, DLL и исполняемые файлы.

Среди новых команд, добавленных в Latrodectus с конца прошлого года, есть команды для перечисления файлов на рабочем столе и получения всей цепочки выполняемых процессов на заражённом устройстве. Вредоносное ПО также поддерживает команду для загрузки и выполнения IcedID, хотя исследователи из Elastic не зафиксировали этого поведения на практике.

«Очевидно, что между IcedID и Latrodectus существует некая связь или рабочая договорённость», — заявили эксперты. «Существует гипотеза, что Latrodectus активно разрабатывается как замена IcedID, а команда загрузки #18 была включена, пока разработчики не убедятся в возможностях нового вредоносного ПО».

Таким образом, злоумышленники постоянно совершенствуют методы распространения вредоносного ПО, создавая новые изощренные загрузчики и боты для проникновения в компьютерные системы. Они адаптируются и используют передовые техники маскировки, чтобы избежать обнаружения антивирусными программами.

Крайне важно регулярно обновлять средства безопасности, повышать осведомлённость пользователей и внедрять многоуровневую защиту для противодействия постоянно меняющимся киберугрозам.