Исследователи кибербезопасности наблюдают всплеск фишинговых кампаний по электронной почте, начиная с начала марта 2024 года, которые предоставляют Latrodectus, зарождающийся загрузчик вредоносных программ, который, как считается, является преемником вредоносного ПО IcedID.
"Эти кампании обычно включают узнаваемую цепочку заражения, включающую файлы JavaScript большого размера, которые используют способность WMI вызывать msiexec.exe и установите удаленный MSI-файл, размещенный на общем ресурсе WEBDAV", - сказали исследователи Elastic Security Labs Дэниел Степанич и Самир Буссиден.
Latrodectus обладает стандартными возможностями, которые обычно ожидаются от вредоносных программ, предназначенных для развертывания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, позволяя субъектам угрозы выполнять различные действия после эксплуатации.
Анализ последних артефактов Latrodectus показал, что большое внимание уделяется перечислению и выполнению, а также внедрению технологии самоудаления для удаления запущенных файлов.
Вредоносное ПО, помимо того, что маскируется под библиотеки, связанные с законным программным обеспечением, использует обфускацию исходного кода и выполняет проверки на антианализе, чтобы предотвратить дальнейшее выполнение в среде отладки или изолированной среде.
Latrodectus также устанавливает сохраняемость на хостах Windows с помощью запланированной задачи и устанавливает контакт с сервером командования и управления (C2) по протоколу HTTPS для получения команд, которые позволяют ему собирать системную информацию; обновлять, перезапускать и завершать работу; и запускать шелл-код, DLL и исполняемые файлы.
Две новые команды, добавленные к вредоносному ПО с момента его появления в конце прошлого года, включают возможность перечислять файлы в каталоге рабочего стола и извлекать всю родословную запущенных процессов с зараженного компьютера.
Он также поддерживает команду для загрузки и выполнения IcedID (идентификатор команды 18) с сервера C2, хотя Elastic заявила, что не обнаружила такого поведения в обычном режиме.
"Определенно существует какая-то связь в разработке или рабочая договоренность между IcedID и Latrodectus", - заявили исследователи.
"Одна из рассматриваемых гипотез заключается в том, что LATRODECTUS активно разрабатывается как замена IcedID, и обработчик (# 18) был включен до тех пор, пока авторы вредоносных программ не были удовлетворены возможностями Latrodectus ".
Разработка ведется под названием Forcepoint dissected - фишинговая кампания, использующая электронные приманки в виде счетов-фактур для доставки вредоносного ПО DarkGate.
Цепочка атак начинается с фишинговых электронных писем, выдаваемых за счета QuickBooks, в которых пользователям предлагается установить Java, нажав на встроенную ссылку, ведущую к вредоносному архиву Java (JAR). Файл JAR служит каналом для запуска сценария PowerShell, отвечающего за загрузку и запуск DarkGate с помощью скрипта AutoIt.
В кампаниях социальной инженерии также использовалась обновленная версия платформы "фишинг как услуга" (PhaaS) под названием Tycoon для сбора сеансовых файлов cookie Microsoft 365 и Gmail и обхода защиты от многофакторной аутентификации (MFA).
"Эта новая версия может похвастаться расширенными возможностями уклонения от обнаружения, которые еще больше затрудняют системам безопасности идентификацию и блокировку комплекта", - сказал Proofpoint. "Были внесены значительные изменения в JavaScript и HTML-код набора для повышения его скрытности и эффективности".
К ним относятся методы запутывания, затрудняющие понимание исходного кода, и использование динамической генерации кода для настройки кода при каждом запуске, что позволяет избежать систем обнаружения на основе сигнатур.
Другие кампании социальной инженерии, обнаруженные в марте 2024 года, использовали рекламу Google, выдающую себя за Calendly и Rufus, для распространения другого загрузчика вредоносных программ, известного как D3F @ ck Loader, который впервые появился на форумах по киберпреступности в январе 2024 года, и в конечном итоге уничтожили Raccoon Stealer и DanaBot.
"Случай с загрузчиком D3F @ ck иллюстрирует, как продолжает развиваться система "Вредоносное ПО как услуга" (MaaS), использующая сертификаты [расширенной проверки] для обхода надежных мер безопасности", - отметила в конце прошлого месяца компания eSentire, занимающаяся кибербезопасностью.
Раскрытие также следует за появлением новых семейств вредоносных программ stealer, таких как Fletchen Stealer, WaveStealer, zEus Stealer и Ziraat Stealer, даже несмотря на то, что троянец удаленного доступа Remcos (RAT) был обнаружен с использованием модуля PrivateLoader для расширения своих возможностей.
"Устанавливая VB-скрипты, изменяя реестр и настраивая службы для перезапуска вредоносного ПО в разное время или под контролем, вредоносное ПО Remcos способно полностью проникнуть в систему и остаться необнаруженным", - сказали в SonicWall Capture Labs threat research".
"Эти кампании обычно включают узнаваемую цепочку заражения, включающую файлы JavaScript большого размера, которые используют способность WMI вызывать msiexec.exe и установите удаленный MSI-файл, размещенный на общем ресурсе WEBDAV", - сказали исследователи Elastic Security Labs Дэниел Степанич и Самир Буссиден.
Latrodectus обладает стандартными возможностями, которые обычно ожидаются от вредоносных программ, предназначенных для развертывания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, позволяя субъектам угрозы выполнять различные действия после эксплуатации.
Анализ последних артефактов Latrodectus показал, что большое внимание уделяется перечислению и выполнению, а также внедрению технологии самоудаления для удаления запущенных файлов.
Вредоносное ПО, помимо того, что маскируется под библиотеки, связанные с законным программным обеспечением, использует обфускацию исходного кода и выполняет проверки на антианализе, чтобы предотвратить дальнейшее выполнение в среде отладки или изолированной среде.
Latrodectus также устанавливает сохраняемость на хостах Windows с помощью запланированной задачи и устанавливает контакт с сервером командования и управления (C2) по протоколу HTTPS для получения команд, которые позволяют ему собирать системную информацию; обновлять, перезапускать и завершать работу; и запускать шелл-код, DLL и исполняемые файлы.
Две новые команды, добавленные к вредоносному ПО с момента его появления в конце прошлого года, включают возможность перечислять файлы в каталоге рабочего стола и извлекать всю родословную запущенных процессов с зараженного компьютера.
Он также поддерживает команду для загрузки и выполнения IcedID (идентификатор команды 18) с сервера C2, хотя Elastic заявила, что не обнаружила такого поведения в обычном режиме.
"Определенно существует какая-то связь в разработке или рабочая договоренность между IcedID и Latrodectus", - заявили исследователи.
"Одна из рассматриваемых гипотез заключается в том, что LATRODECTUS активно разрабатывается как замена IcedID, и обработчик (# 18) был включен до тех пор, пока авторы вредоносных программ не были удовлетворены возможностями Latrodectus ".
Разработка ведется под названием Forcepoint dissected - фишинговая кампания, использующая электронные приманки в виде счетов-фактур для доставки вредоносного ПО DarkGate.
Цепочка атак начинается с фишинговых электронных писем, выдаваемых за счета QuickBooks, в которых пользователям предлагается установить Java, нажав на встроенную ссылку, ведущую к вредоносному архиву Java (JAR). Файл JAR служит каналом для запуска сценария PowerShell, отвечающего за загрузку и запуск DarkGate с помощью скрипта AutoIt.
В кампаниях социальной инженерии также использовалась обновленная версия платформы "фишинг как услуга" (PhaaS) под названием Tycoon для сбора сеансовых файлов cookie Microsoft 365 и Gmail и обхода защиты от многофакторной аутентификации (MFA).
"Эта новая версия может похвастаться расширенными возможностями уклонения от обнаружения, которые еще больше затрудняют системам безопасности идентификацию и блокировку комплекта", - сказал Proofpoint. "Были внесены значительные изменения в JavaScript и HTML-код набора для повышения его скрытности и эффективности".
К ним относятся методы запутывания, затрудняющие понимание исходного кода, и использование динамической генерации кода для настройки кода при каждом запуске, что позволяет избежать систем обнаружения на основе сигнатур.
Другие кампании социальной инженерии, обнаруженные в марте 2024 года, использовали рекламу Google, выдающую себя за Calendly и Rufus, для распространения другого загрузчика вредоносных программ, известного как D3F @ ck Loader, который впервые появился на форумах по киберпреступности в январе 2024 года, и в конечном итоге уничтожили Raccoon Stealer и DanaBot.
"Случай с загрузчиком D3F @ ck иллюстрирует, как продолжает развиваться система "Вредоносное ПО как услуга" (MaaS), использующая сертификаты [расширенной проверки] для обхода надежных мер безопасности", - отметила в конце прошлого месяца компания eSentire, занимающаяся кибербезопасностью.
Раскрытие также следует за появлением новых семейств вредоносных программ stealer, таких как Fletchen Stealer, WaveStealer, zEus Stealer и Ziraat Stealer, даже несмотря на то, что троянец удаленного доступа Remcos (RAT) был обнаружен с использованием модуля PrivateLoader для расширения своих возможностей.
"Устанавливая VB-скрипты, изменяя реестр и настраивая службы для перезапуска вредоносного ПО в разное время или под контролем, вредоносное ПО Remcos способно полностью проникнуть в систему и остаться необнаруженным", - сказали в SonicWall Capture Labs threat research".
