İlk başta analistler, indiricinin iyi bilinen kötü amaçlı yazılım IcedID’nin bir çeşidi olduğunu düşündüler; ancak Latrodectus’un tamamen yeni bir şey olduğu ortaya çıktı.
Kötü amaçlı yazılım, e-posta tehdit kampanyalarında ilk erişim aracıları (IAB’ler) tarafından kullanılıyor ve Proofpoint ile Team Cymru S2 Tehdit Araştırma Ekibindeki keşfin arkasındaki araştırmacılar, Latrodectus’un tehdit aktörleri arasında ivme kazanmaya devam edeceğini tahmin ediyor. Araştırmacılar, bunun büyük ölçüde sanal alan tespitinden kaçabilme yeteneğinden kaynaklandığını söyledi.
“Kötü amaçlı yazılım, başlatıldıktan sonra, cihazda çalışan işlemlerin miktarını doğrulayarak bir sanal alanda çalışmadığını doğrulamak için ortamını kontrol edecek, ardından 64 bitlik bir ana bilgisayarda çalıştığından emin olmak için kontrol edecek ve son olarak kötü amaçlı yazılım görünüyor Critical Start’taki tehdit tespit mühendisi Adam Neel’in açıklamasına göre, ana bilgisayarın geçerli bir MAC adresine sahip olup olmadığını görmek için. “Bu sanal alandan kaçınma teknikleri, araştırmacıları ve savunucuları Latrodectus örneklerini analiz etmekten yavaşlatabilir.”
Rapor, ilk olarak 2023’ün sonlarında keşfedilen bu yeni yükleyicinin Şubat ve Mart aylarında kullanıldığı tehdit faaliyetlerinde belirgin bir artış olduğu konusunda uyardı.
Her ne kadar bir IcedID’nin bir çeşidiaraştırmacılar, adını analiz sırasında bulunan bir kod dizisinden alan Latrodectus’un benzer özelliklere sahip olduğunu buldular ve bu da ekibin her ikisinin de aynı geliştiriciler tarafından oluşturulduğu sonucuna varmasına yol açtı.
Latrodectus’u Kasım 2023’te kullanan ilk grup TA577Raporda, Ocak 2024’ün ortasından bu yana neredeyse yalnızca buna güvenildiği belirtildi. Latrodectus’u ele geçirmeden önce, düşman grubun IcedID kullandığını da ekledi.
Şubat ayında araştırmacılar, TA578 adlı başka bir grubun, kimlik avı tuzağı olarak telif hakkı ihlali nedeniyle yasal işlem tehdidinde bulunan bir kampanya kapsamında Latrodectus’u dağıttığını keşfetti.
Latrodectus Downloader Yeni QBot mu?
Yeni Latrodectus indiricisi, Latrodectus’un bıraktığı boşluğu dolduracak şekilde konumlandırıldı. QBot kötü amaçlı yazılımının kaldırılması Qualys Tehdit Araştırma Birimi siber tehdit direktörü Ken Dunham’ın açıklamasına göre (Qakbot olarak da bilinir) 2023 yazında.
Dunham, “TA577 ve diğer aktörler Qbot’a ve şimdi de yeni bir kötü amaçlı yazılım kampanyası olan Latrodectus’a bağlı.” diye açıkladı. “QBot’un arkasındaki aktörlerin geçen yılki yayından kaldırmaların yarattığı baskıyı hissedip 2023 sonbaharında bu yeni kod tabanına ve altyapıya geçmeleri muhtemel görünüyor.”
Uzmanlar, Latrodectus’un e-posta kampanyalarında aktif olarak kullanıldığına dair farkındalığın ve dikkatli olmanın, işletmelerin yükseltilmiş indiriciye karşı savunma yapmasına yardımcı olacağını tavsiye ediyor. yeni Latrodectus raporu yardımcı olacak taktikler, teknikler ve prosedürler sağlar.
Neel, “Bunun Latrodectus’un son formu olmaması ve gelecekte büyümeye ve kendisini IcedID’den daha fazla farklılaştırmaya devam etmesi mümkündür” diye ekledi. “Latrodectus şu anda e-posta kampanyaları aracılığıyla dağıtılıyor, dolayısıyla kimlik avı farkındalığına olan ihtiyaç inanılmaz derecede önemli olmaya devam ediyor.”