Latrodectus恶意软件加载器成为IcedID在网络钓鱼活动中的继任者

网络安全研究人员观察到，从2024年3月初开始，电子邮件网络钓鱼活动激增，该活动提供了Latrodectus，一个新生的恶意软件加载程序，被认为是IcedID恶意软件的继任者。

弹性安全实验室研究人员Daniel Stepanic和Samir Bousseaden说，这些活动通常涉及可识别的感染链，涉及超大的JavaScript文件，这些文件利用WMI调用msiexec.exe和安装远程托管的MSI文件的能力，远程托管在WEBDAV共享上。

Latrodectus具有标准功能，这些功能通常用于恶意软件，旨在部署额外的有效负载，如QakBot、DarkGate和PikaBot，允许威胁行为者进行各种开发后活动。

对最新Latrodectus工件的分析显示，广泛关注枚举和执行，以及纳入自删除技术来删除正在运行的文件。

该恶意软件除了伪装成与合法软件相关的库外，还利用源代码混淆并执行反分析检查，以防止其执行在调试或沙盒环境中进一步进行。

Latrodectus还使用计划任务在Windows主机上设置持久性，并通过HTTPS与命令和控制（C2）服务器建立联系，以接收命令，允许其收集系统信息；更新、重新启动和终止自己；并运行shellcode、DLL和可执行文件。

自去年年底出现以来，该恶意软件增加了两个新命令，包括列举桌面目录中的文件，并从受感染的机器中检索整个运行进程祖先。

它进一步支持从C2服务器下载和执行IcedID（命令ID 18）的命令，尽管Elastic表示它没有在野外检测到这种行为。

研究人员说，IcedID和Latrodectus之间肯定有某种发展联系或工作安排。

正在考虑的一个假设是，LATRODECTUS正在积极开发，作为IcedID的替代品，在恶意软件作者对Latrodectus的能力感到满意之前，处理程序（#18）被包括在内。

这项开发正值Forcepoint剖析了网络钓鱼活动，该活动利用发票主题的电子邮件诱饵来传递DarkGate恶意软件。

攻击链从冒成QuickBooks发票的网络钓鱼电子邮件开始，敦促用户通过单击导致恶意Java存档（JAR）的嵌入式链接来安装Java。JAR文件充当运行PowerShell脚本的管道，该脚本负责通过AutoIT脚本下载和启动DarkGate。

社交工程活动还采用了名为Tycoon的网络钓鱼即服务（PhaaS）平台的更新版本，以收集Microsoft 365和Gmail会话cookie并绕过多因素身份验证（MFA）保护。

Proofpoint说，这个新版本拥有增强的检测规避能力，这使得安全系统更难识别和阻止该套件。对工具包的JavaScript和HTML代码进行了重大更改，以提高其隐性和有效性。

这些包括混淆技术，使源代码更难理解，以及使用动态代码生成在每次运行时调整代码，从而避开基于签名的检测系统。

2024年3月检测到的其他社交工程活动利用冒充Calendly和Rufus的谷歌广告来传播另一个被称为D3F@ck Loader的恶意软件加载器，该程序于2024年1月首次出现在网络犯罪论坛上，并最终放弃了Raccoon Stealer和DanaBot。

网络安全公司eSentire上个月晚些时候指出，D3F@ck Loader的案例说明了恶意软件即服务（MaaS）是如何继续发展的，利用[扩展验证]证书绕过可信的安全措施。

披露还伴随着Fletchen Stealer、WaveStealer、zEus Stealer和Ziraat Stealer等新的窃取器恶意软件家族的出现，即使Remcos远程访问木马（RAT）已被发现使用PrivateLoader模块来增强其能力。

SonicWall Capture Labs威胁研究团队表示，通过安装VB脚本，更改注册表，并设置服务以在可变时间或通过控制重新启动恶意软件，[Remcos]恶意软件能够完全渗透到系统，并且不被检测到。