网络安全研究人员观察到,从2024年3月初开始,电子邮件网络钓鱼活动激增,该活动提供了Latrodectus,一个新生的恶意软件加载程序,被认为是IcedID恶意软件的继任者。
弹性安全实验室研究人员Daniel Stepanic和Samir Bousseaden说,这些活动通常涉及可识别的感染链,涉及超大的JavaScript文件,这些文件利用WMI调用msiexec.exe和安装远程托管的MSI文件的能力,远程托管在WEBDAV共享上。
Latrodectus具有标准功能,这些功能通常用于恶意软件,旨在部署额外的有效负载,如QakBot、DarkGate和PikaBot,允许威胁行为者进行各种开发后活动。
对最新Latrodectus工件的分析显示,广泛关注枚举和执行,以及纳入自删除技术来删除正在运行的文件。
该恶意软件除了伪装成与合法软件相关的库外,还利用源代码混淆并执行反分析检查,以防止其执行在调试或沙盒环境中进一步进行。
Latrodectus还使用计划任务在Windows主机上设置持久性,并通过HTTPS与命令和控制(C2)服务器建立联系,以接收命令,允许其收集系统信息;更新、重新启动和终止自己;并运行shellcode、DLL和可执行文件。
自去年年底出现以来,该恶意软件增加了两个新命令,包括列举桌面目录中的文件,并从受感染的机器中检索整个运行进程祖先。
它进一步支持从C2服务器下载和执行IcedID(命令ID 18)的命令,尽管Elastic表示它没有在野外检测到这种行为。
研究人员说,IcedID和Latrodectus之间肯定有某种发展联系或工作安排。
正在考虑的一个假设是,LATRODECTUS正在积极开发,作为IcedID的替代品,在恶意软件作者对Latrodectus的能力感到满意之前,处理程序(#18)被包括在内。
这项开发正值Forcepoint剖析了网络钓鱼活动,该活动利用发票主题的电子邮件诱饵来传递DarkGate恶意软件。
攻击链从冒成QuickBooks发票的网络钓鱼电子邮件开始,敦促用户通过单击导致恶意Java存档(JAR)的嵌入式链接来安装Java。JAR文件充当运行PowerShell脚本的管道,该脚本负责通过AutoIT脚本下载和启动DarkGate。
社交工程活动还采用了名为Tycoon的网络钓鱼即服务(PhaaS)平台的更新版本,以收集Microsoft 365和Gmail会话cookie并绕过多因素身份验证(MFA)保护。
Proofpoint说,这个新版本拥有增强的检测规避能力,这使得安全系统更难识别和阻止该套件。对工具包的JavaScript和HTML代码进行了重大更改,以提高其隐性和有效性。
这些包括混淆技术,使源代码更难理解,以及使用动态代码生成在每次运行时调整代码,从而避开基于签名的检测系统。
2024年3月检测到的其他社交工程活动利用冒充Calendly和Rufus的谷歌广告来传播另一个被称为D3F@ck Loader的恶意软件加载器,该程序于2024年1月首次出现在网络犯罪论坛上,并最终放弃了Raccoon Stealer和DanaBot。
网络安全公司eSentire上个月晚些时候指出,D3F@ck Loader的案例说明了恶意软件即服务(MaaS)是如何继续发展的,利用[扩展验证]证书绕过可信的安全措施。
披露还伴随着Fletchen Stealer、WaveStealer、zEus Stealer和Ziraat Stealer等新的窃取器恶意软件家族的出现,即使Remcos远程访问木马(RAT)已被发现使用PrivateLoader模块来增强其能力。
SonicWall Capture Labs威胁研究团队表示,通过安装VB脚本,更改注册表,并设置服务以在可变时间或通过控制重新启动恶意软件,[Remcos]恶意软件能够完全渗透到系统,并且不被检测到。
暂无评论内容