Nieuwe Latrodectus malware-aanvallen gebruiken thema's van Microsoft en Cloudflare
Door Lawrence AbramsPublicatie van BleepingComputer
Latrodectus-malware wordt nu gedistribueerd in phishing-campagnes waarbij gebruik wordt gemaakt van lokmiddelen van Microsoft Azure en Cloudflare om legitiem te lijken en het tegelijkertijd moeilijker te maken voor e-mailbeveiligingsplatforms om de e-mails als kwaadaardig te detecteren.
Latrodectus (ook bekend als Unidentified 111 en IceNova) is een in toenemende mate verspreide downloader voor Windows-malware die voor het eerst werd ontdekt door het beveiligingsteam van Walmart en later werd geanalyseerd door ProofPoint en Team Cymru. Deze downloader fungeert als een achterdeur en downloadt aanvullende EXE- en DLL payloads of voert opdrachten uit.
Op basis van de distributie en infrastructuur hebben onderzoekers de malware in verband gebracht met de ontwikkelaars van de wijdverspreide IcedID modulaire malwarelader.
Hoewel het op dit moment niet bekend is of ze van plan zijn IcedID uit te faseren ten gunste van Latrodectus, wordt de nieuwere malware steeds vaker gebruikt in phishing-campagnes en contactformulier-spam om toegang te krijgen tot bedrijfsnetwerken.
Beveiligingsonderzoeker ProxyLife en de Cryptolaemus-groep hebben het gebruik van verschillende PDF-lokkers en -thema's door Latrodectus beschreven. De nieuwste campagne maakt gebruik van een valse Cloudflare captcha om beveiligingssoftware te omzeilen.
Begint met een e-mail
Latrodectus wordt op dit moment gedistribueerd via reply-chain phishing-e-mails, waarbij dreigingsactoren gebruikmaken van gestolen e-mailuitwisselingen en deze vervolgens beantwoorden met koppelingen naar malware of schadelijke bijlagen.ProxyLife vertelde BleepingComputer dat deze campagne PDF-bijlagen of ingesloten URL's gebruikt om een aanvalsketen te starten die uiteindelijk leidt tot het installeren van de Latrodectus-malware.
Latrodectus phishing-e-mail
Bron: BleepingComputer
De PDF's gebruiken generieke namen zoals '04-25-Inv-Doc-339.pdf' en doen zich voor als een document dat wordt gehost in Microsoft Azure cloud, dat eerst moet worden gedownload om te kunnen worden bekeken.
PDF-document doet alsof het wordt gehost in Microsoft Azure Cloud
Bron: BleepingComputer
Klikken op de knop 'Document downloaden' brengt gebruikers naar een valse 'Cloudflare-beveiligingscontrole' die vraagt om een eenvoudige wiskundige vraag op te lossen. Deze captcha voorkomt waarschijnlijk dat e-mailbeveiligingsscanners en sandboxes de aanvalsketen gemakkelijk kunnen volgen en de payload alleen aan een legitieme gebruiker kunnen leveren.
Als het juiste antwoord in het veld wordt ingevoerd, downloadt de valse Cloudflare captcha automatisch een JavaScript-bestand dat zich voordoet als een document met de naam "Document_i79_13b364058-83054409r0449-8089z4.js".
Een valse Cloudflare captcha oplossen om payload te downloaden
Bron: BleepingComputer
Het gedownloade JavaScript-script is zwaar versleuteld met commentaar dat een verborgen functie bevat die tekst extraheert uit commentaar dat begint met '////' en vervolgens het script uitvoert om een MSI te downloaden van een vast gecodeerde URL, zoals te zien is in het versleutelde script hieronder.
Gedefragmenteerd script dat MSI-bestand downloadt
Bron: BleepingComputer
Wanneer het MSI-bestand wordt geïnstalleerd, plaatst het een DLL in de map %AppData%\Custom_update met de naam Update _b419643a.dll, die vervolgens wordt gestart door rundll32.exe. De bestandsnamen zijn waarschijnlijk willekeurig per installatie.
RunDLL32 gebruikt om Latrodectus DLL te starten
Bron: BleepingComputer
Deze DLL is de Latrodectus-malware, die nu stilletjes op de achtergrond draait in afwachting van payloads die worden geïnstalleerd of opdrachten die worden uitgevoerd.
Latrodectus malware-infecties worden gebruikt om andere malware te droppen en voor initiële toegang tot bedrijfsnetwerken en kunnen leiden tot verwoestende aanvallen.
Op dit moment is waargenomen dat de malware de Lumma-informatiediefstal en Danabot dropt. Omdat Latrodectus echter is gekoppeld aan IcedID, kunnen deze aanvallen in de toekomst leiden tot een breder scala aan malware, zoals Cobalt Strike, en zien we mogelijk ook samenwerkingsverbanden met ransomware-bendes.
Als een apparaat geïnfecteerd raakt met Latrodectus, is het daarom cruciaal om het systeem zo snel mogelijk offline te halen en het netwerk te evalueren op ongewoon gedrag.