Οι ερευνητές στον τομέα της κυβερνοασφάλειας παρατήρησαν μια αύξηση στις καμπάνιες phishing από τις αρχές Μαρτίου 2024. Αυτές οι καμπάνιες διαδίδουν το Latrodectus, έναν νέο loader malware (κακόβουλου λογισμικού) που θεωρείται ο διάδοχος του IcedID.
Οι καμπάνιες αυτές συχνά περιλαμβάνουν μία αλυσίδα μόλυνσης με μεγάλα αρχεία JavaScript, που αξιοποιούν την ικανότητα του WMI να καλεί το msiexec.exe και να εγκαθιστά ένα απομακρυσμένο αρχείο MSI, το οποίο φιλοξενείται σε κοινόχρηστο στοιχείο WEBDAV. Οι ερευνητές της Elastic Security Labs, Daniel Stepanic και Samir Bse, ανέφεραν.
Δείτε περισσότερα: Νέο Zoom Phishing campaign απειλεί υπαλλήλους με απόλυση
Το Latrodectus διαθέτει χαρακτηριστικά που συναντώνται συνήθως σε κακόβουλο λογισμικό, σχεδιασμένα για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων όπως το QakBot, το DarkGate και το PikaBot. Αυτό επιτρέπει στους χάκερς να διεξάγουν ποικίλες δραστηριότητες μετά την εκμετάλλευση.
Μια ανάλυση των πιο πρόσφατων τεχνουργημάτων του Latrodectus αποκάλυψε μια εκτενή εστίαση στην απαρίθμηση και την εκτέλεση, καθώς και την ενσωμάτωση μιας προηγμένης τεχνικής αυτοδιαγραφής για τη διαγραφή εκτελούμενων αρχείων.
Το κακόβουλο λογισμικό όχι μόνο μεταμφιέζεται σε βιβλιοθήκες συνδεδεμένες με νόμιμο λογισμικό, αλλά χρησιμοποιεί επίσης τεχνικές απόκρυψης πηγαίου κώδικα και εκτελεί ελέγχους κατά της ανάλυσης για να αποτρέψει την εκτέλεσή του σε περιβάλλοντα εντοπισμού σφαλμάτων ή sandbox.
Το Latrodectus ενισχύει την επιμονή σε υπολογιστές με Windows μέσω μιας προγραμματισμένης εργασίας και διατηρεί επαφή με έναν διακομιστή εντολών και ελέγχου (C2) μέσω HTTPS. Αυτό του επιτρέπει να λαμβάνει εντολές για τη συλλογή πληροφοριών συστήματος, την ενημέρωση, την επανεκκίνηση ή τον τερματισμό, καθώς και για την εκτέλεση shellcode, DLL και εκτελέσιμων αρχείων.
Δύο νέες εντολές προστέθηκαν στο κακόβουλο λογισμικό από την εμφάνισή του στα τέλη του περασμένου έτους. Αυτές περιλαμβάνουν τη δυνατότητα απαρίθμησης των αρχείων στην επιφάνεια εργασίας και ανάκτησης της πλήρους προέλευσης της εκτελούμενης διαδικασίας από το μολυσμένο μηχάνημα.
Υποστηρίζει επίσης μια εντολή λήψης και εκτέλεσης του IcedID (εντολή 18) από τον C2 διακομιστή, αν και η Elastic ανέφερε ότι δεν παρατήρησε αυτήν τη συμπεριφορά σε πραγματικές συνθήκες.
«Υπάρχει σίγουρα μια αναπτυξιακή συνεργασία ή εργασιακή συμφωνία μεταξύ του IcedID και του Latrodectus», ανέφεραν οι ερευνητές.
Μία υπόθεση που διερευνάται είναι ότι το LATRODECTUS αναπτύσσεται ενεργά ως αντικαταστάτης του IcedID, και ο χειριστής (#18) συμπεριλήφθηκε μέχρι οι δημιουργοί κακόβουλου λογισμικού να είναι ικανοποιημένοι με τις δυνατότητες του Latrodectus.
Η ανάπτυξη έρχεται καθώς η Forcepoint ανέλυσε μια phishing καμπάνια που χρησιμοποιεί θέλγητρα ηλεκτρονικού ταχυδρομείου με θέμα τιμολόγια για την παράδοση του κακόβουλου λογισμικού DarkGate.
Διαβάστε ακόμα: CryptoChameleon phishing: Hackers παριστάνουν υπαλλήλους του LastPass
Η αλυσίδα επίθεσης ξεκινά με phishing μηνύματα που παρουσιάζονται ως τιμολόγια QuickBooks, παροτρύνοντας τους χρήστες να εγκαταστήσουν το Java κάνοντας κλικ σε έναν ενσωματωμένο σύνδεσμο που οδηγεί σε ένα κακόβουλο αρχείο Java (JAR). Το αρχείο JAR λειτουργεί ως αγωγός για την εκτέλεση ενός σεναρίου PowerShell που είναι υπεύθυνο για τη λήψη και την εκκίνηση του DarkGate μέσω ενός σεναρίου AutoIT.
Οι καμπάνιες κοινωνικής μηχανικής έχουν επίσης χρησιμοποιήσει μια αναβαθμισμένη έκδοση της πλατφόρμας phishing-as-a-service (PhaaS) που ονομάζεται Tycoon, για τη συλλογή cookie περιόδου λειτουργίας του Microsoft 365 και του Gmail, καθώς και για την παράκαμψη των προστασιών ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
“Αυτή η νέα έκδοση διαθέτει βελτιωμένες δυνατότητες αποφυγής εντοπισμού που καθιστούν ακόμη πιο δύσκολο για τα συστήματα ασφαλείας να αναγνωρίσουν και να μπλοκάρουν το κιτ”, δήλωσε η Proofpoint. “Έχουν εφαρμοστεί σημαντικές αλλαγές στον κώδικα JavaScript και HTML του κιτ για να αυξηθεί η μυστικότητα και η αποτελεσματικότητά του.”
Αυτές περιλαμβάνουν τεχνικές συσκότισης για να γίνει πιο κατανοητός ο πηγαίος κώδικας και η χρήση δυναμικής δημιουργίας κώδικα για την τροποποίηση του κώδικα κάθε φορά που εκτελείται, αποφεύγοντας έτσι τα συστήματα ανίχνευσης που βασίζονται σε υπογραφές.
Άλλες καμπάνιες κοινωνικής μηχανικής που εντοπίστηκαν τον Μάρτιο του 2024 εκμεταλλεύτηκαν τις διαφημίσεις Google που υποδύονται τους Calendly και Rufus για να διαδώσουν ένα άλλο πρόγραμμα φόρτωσης κακόβουλου λογισμικού γνωστό ως D3F@ck Loader, το οποίο εμφανίστηκε για πρώτη φορά σε φόρουμ για το έγκλημα στον κυβερνοχώρο τον Ιανουάριο του 2024 και τελικά απέσυρε τα Raccoon Stealer και DanaBat.
«Η περίπτωση του D3F@ck Loader δείχνει πώς το κακόβουλο λογισμικό ως υπηρεσία (MaaS) συνεχίζει να εξελίσσεται, χρησιμοποιώντας πιστοποιητικά [Εκτεταμένης επικύρωσης] για να παρακάμψει αξιόπιστα μέτρα ασφαλείας», σημείωσε η εταιρεία κυβερνοασφάλειας eSentire στα τέλη του περασμένου μήνα.
Η αποκάλυψη έρχεται μετά την εμφάνιση νέων οικογενειών κακόβουλου λογισμικού, όπως τα Fletchen Stealer, WaveStealer, zEus Stealer και Ziraat Stealer. Παράλληλα, ο trojan απομακρυσμένης πρόσβασης Remcos (RAT) έχει εντοπιστεί να χρησιμοποιεί την μονάδα PrivateLoader για να ενισχύσει τις δυνατότητές του.
Διαβάστε επίσης: Hacker ισχυρίζεται ότι έκλεψε δεδομένα λογαριασμού της Samco
“Με την εγκατάσταση VB σεναρίων, την τροποποίηση του μητρώου και τη ρύθμιση υπηρεσιών για την επανεκκίνηση του κακόβουλου λογισμικού σε μεταβλητούς χρόνους ή κατόπιν ελέγχου, το κακόβουλο λογισμικό [Remcos] μπορεί να διεισδύσει πλήρως σε ένα σύστημα και να παραμείνει απαρατήρητο,” ανέφερε η ερευνητική ομάδα απειλών της SonicWall Capture Labs.
Πηγή: thehackernews
 που θεωρείται ο διάδοχος του IcedID.){kind=link}