Les logiciels malveillants Latrodectus sont désormais distribués dans des campagnes de phishing à l’aide de leurres Microsoft Azure et Cloudflare pour paraître légitimes tout en rendant plus difficile pour les plates-formes de sécurité des e-mails de détecter les e-mails comme malveillants.
Latrodectus (alias Unidentified 111 et IceNova) est un téléchargeur de logiciels malveillants Windows de plus en plus distribué découvert pour la première fois par l’équipe de sécurité de Walmart et analysé plus tard par ProofPoint et Team Cymru qui agit comme une porte dérobée, téléchargeant des charges utiles EXE et DLL supplémentaires ou exécutant des commandes.
Sur la base de la distribution et de l’infrastructure, les chercheurs ont lié le logiciel malveillant aux développeurs du chargeur de logiciels malveillants modulaire IcedID largement distribué.
Bien que l’on ne sache pas pour le moment s’ils prévoient d’éliminer progressivement IcedID au profit de Latrodectus, le nouveau logiciel malveillant est de plus en plus utilisé dans les campagnes de phishing et le spam des formulaires de contact pour accéder initialement aux réseaux d’entreprise.
Le chercheur en sécurité ProxyLife et le groupe Cryptolaemus ont fait la chronique de l’utilisation par Latrodectus de divers leurres et thèmes PDF, la dernière campagne utilisant un faux captcha Cloudflare pour échapper au logiciel de sécurité.
Commence par un e-mail
Latrodectus est actuellement distribué par le biais d’e-mails de phishing en chaîne de réponse, c’est-à-dire lorsque les acteurs de la menace utilisent des échanges d’e-mails volés, puis leur répondent avec des liens vers des logiciels malveillants ou des pièces jointes malveillantes.
ProxyLife a déclaré à Breachtrace que cette campagne utilise des pièces jointes PDF ou des URL intégrées pour lancer une chaîne d’attaque qui conduit finalement à l’installation du logiciel malveillant Latrodectus.
Les PDF utiliseront des noms génériques comme ‘ 04-25-Inv-Doc-339.pdf ‘ et prétendre être un document hébergé dans le cloud Microsoft Azure, qui doit d’abord être téléchargé pour être visualisé.
Cliquer sur le bouton « Télécharger le document » amènera les utilisateurs à un faux « contrôle de sécurité Cloudflare » qui vous demandera de résoudre une question mathématique simple. Ce captcha est susceptible d’empêcher les scanners de sécurité des e-mails et les bacs à sable de suivre facilement la chaîne d’attaque et de ne livrer la charge utile qu’à un utilisateur légitime.
Lorsque la bonne réponse est entrée dans le champ, le faux captcha Cloudflare téléchargera automatiquement un fichier JavaScript prétendant être un document nommé similaire à » Document_i79_13b364058-83054409r0449-8089z4.j ».
Le script JavaScript téléchargé est fortement obscurci par des commentaires qui incluent une fonction masquée qui extrait le texte des commentaires commençant par’////’, puis exécute le script pour télécharger un MSI à partir d’une URL codée en dur, comme indiqué dans le script deobfusqué ci-dessous.
Lorsque le fichier MSI est installé, il dépose une DLL dans le dossier%AppData % \Custom_update nommé Update _b419643a.dll, qui est ensuite lancé par rundll32.exé. Les noms de fichiers sont probablement aléatoires par installation.
Cette DLL est le malware Latrodectus, qui s’exécutera désormais tranquillement en arrière-plan en attendant l’installation des charges utiles ou l’exécution des commandes.
Comme les infections par les logiciels malveillants Latrodectus sont utilisées pour supprimer d’autres logiciels malveillants et pour l’accès initial aux réseaux d’entreprise, elles peuvent entraîner des attaques dévastatrices.
À l’heure actuelle, le logiciel malveillant a été observé en train de déposer le voleur d’informations Lumma et Dana à la fois. Cependant, étant donné que Latrodectus est lié à IcedID, ces attaques pourraient conduire à un plus large éventail de logiciels malveillants à l’avenir, tels que Cobalt Strike, et nous pourrions également voir des partenariats avec des gangs de ransomwares.
Par conséquent, si un périphérique est infecté par Latrodectus, il est essentiel de mettre le système hors ligne dès que possible et d’évaluer le comportement inhabituel du réseau.