Un malware relativement nouveau appelé Latrodectus serait une évolution du chargeur IcedID, observé dans les campagnes d’e-mails malveillants depuis novembre 2023.

Le malware a été repéré par des chercheurs de Proofpoint et de l’équipe Cymru, qui ont travaillé ensemble pour documenter ses capacités, qui sont encore instables et expérimentales.

IcedID est une famille de logiciels malveillants identifiée pour la première fois en 2017 qui était à l’origine classée comme un cheval de Troie bancaire modulaire conçu pour voler des informations financières sur des ordinateurs infectés. Au fil du temps, il est devenu plus sophistiqué, ajoutant des capacités d’évasion et d’exécution de commandes.

Ces dernières années, il a agi comme un chargeur capable de diffuser d’autres types de logiciels malveillants, y compris des ransomwares, sur des systèmes infectés.

À partir de 2022, plusieurs campagnes IcedID ont démontré des tactiques de livraison diversifiées, mais la principale méthode de distribution est restée les e-mails malveillants. Fin 2022, de nouvelles variantes du malware ont été utilisées dans des attaques, qui ont expérimenté diverses astuces d’évasion et de nouveaux ensembles d’attaques.

En février 2024, l’un des dirigeants de l’opération IcedID a plaidé coupable aux États-Unis, encourant 40 ans d’emprisonnement.

Les chercheurs de Proofpoint et de l’équipe Cymru pensent maintenant que les développeurs d’IcedID ont créé Latrodectus après avoir constaté qu’ils partageaient l’infrastructure et les chevauchements opérationnels.

Il est trop tôt pour dire si Latrodectus remplacera finalement IcedID. Cependant, les chercheurs affirment que les courtiers d’accès initiaux (TA577 et TA578) qui distribuaient auparavant IcedID ont maintenant commencé à distribuer de plus en plus Latrodectus dans des campagnes de phishing.

Chevauchements d’infrastructures

Nouveau malware Latrodectus
Latrodectus a été repéré en novembre 2023, utilisé par des acteurs de la menace suivis comme TA577 et TA578, avec une augmentation notable des déploiements observés en février et mars 2024.

L’auteur de la menace lance l’attaque en remplissant des formulaires de contact en ligne pour envoyer de faux avis de violation de droits d’auteur aux organisations ciblées.

Breachtrace a déjà signalé des campagnes similaires dans le passé, et pour les propriétaires de sites qui ne connaissent pas cette attaque de phishing, ils peuvent être stressants à recevoir et peuvent effrayer les destinataires en cliquant sur les liens intégrés.

Message malveillant utilisé dans une attaque Latrodectus

Le lien dans les dernières campagnes amène la victime à une URL Google Firebase qui supprime un fichier JavaScript. Lorsqu’il est exécuté, le fichier JS utilise Windows installer (MSIEXEC) pour exécuter un fichier MSI à partir d’un partage WebDAV, qui contient la charge utile de la DLL Latrodecturs.

Contrairement à son prédécesseur, Latrodectus effectue diverses vérifications d’évasion du bac à sable avant de s’exécuter sur l’appareil pour éviter la détection et l’analyse par les chercheurs en sécurité.

Les contrôles comprennent:

  1. Si Windows 10 ou plus récent, avoir au moins 75 processus en cours d’exécution
  2. S’il est antérieur à Windows 10, avoir au moins 50 processus en cours d’exécution
  3. Assurez-vous que l’application 64 bits s’exécute sur un hôte 64 bits
  4. Assurez-vous que l’hôte dispose d’une adresse MAC valide

Après les vérifications d’environnement et de mutex requises, le logiciel malveillant s’initialise en envoyant un rapport d’enregistrement de victime à ses opérateurs.

Latrodectus est un téléchargeur capable de récupérer d’autres charges utiles malveillantes en fonction des instructions reçues d’un serveur de commande et de contrôle (C2).

Les commandes prises en charge par Latrodectus sont les suivantes:

  • Obtenir les noms de fichiers des fichiers sur le bureau
  • Obtenir la liste des processus en cours d’exécution
  • Envoyer des informations système supplémentaires
  • Exécuter un fichier exécutable
  • Exécuter une DLL avec une exportation donnée
  • Passez une chaîne à cmd et exécutez-la
  • Mettez à jour le bot et déclenchez un redémarrage
  • Arrêter le processus en cours
  • Télécharger  » bp.données  » et l’exécuter
  • Définissez un indicateur pour réinitialiser la synchronisation des communications
  • Réinitialisez la variable de compteur utilisée dans les communications

L’infrastructure du malware est séparée en deux niveaux distincts qui suivent une approche opérationnelle dynamique en ce qui concerne l’implication et la durée de vie de la campagne, la plupart des nouveaux C2 étant mis en ligne vers la fin de la semaine précédant les attaques.

Proofpoint conclut par un avertissement concernant Latrodectus, estimant une forte probabilité que le logiciel malveillant soit utilisé à l’avenir par plusieurs acteurs de la menace qui ont précédemment distribué IcedID.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *