Pada awalnya, para analis mengira pengunduh tersebut adalah varian dari malware terkenal IcedID — namun ternyata Latrodectus adalah sesuatu yang benar-benar baru.
Malware ini digunakan oleh pialang akses awal (IAB) dalam kampanye ancaman email, dan para peneliti di balik penemuan di Proofpoint dan Tim Peneliti Ancaman Tim Cymru S2 memperkirakan Latrodectus akan terus mendapatkan momentum di antara para pelaku ancaman. Hal ini sebagian besar disebabkan oleh kemampuannya menghindari deteksi kotak pasir, kata para peneliti.
“Setelah inisialisasi, malware akan memeriksa lingkungannya untuk mengonfirmasi bahwa ia tidak berjalan di sandbox dengan mengonfirmasi jumlah proses yang berjalan pada perangkat, kemudian memeriksa untuk memastikannya berjalan pada host 64-bit, dan terakhir malware tersebut terlihat untuk melihat apakah host memiliki alamat MAC yang valid,” menurut pernyataan dari Adam Neel, insinyur pendeteksi ancaman di Critical Start. “Teknik penghindaran kotak pasir ini dapat memperlambat peneliti dan pembela HAM dalam menganalisis sampel Latrodectus.”
Pertama kali ditemukan pada akhir tahun 2023, terdapat peningkatan nyata dalam aktivitas ancaman menggunakan loader baru sepanjang bulan Februari dan Maret, laporan tersebut memperingatkan.
Meskipun itu bukan a varian dari IcedID, para peneliti menemukan Latrodectus – dinamai berdasarkan serangkaian kode yang ditemukan selama analisis – memang memiliki karakteristik yang serupa, sehingga membuat tim menyimpulkan bahwa keduanya dibuat oleh pengembang yang sama.
Kelompok pertama yang menggunakan Latrodectus pada November 2023 adalah TA577, dan mereka telah mengandalkannya hampir secara eksklusif sejak pertengahan Januari 2024, kata laporan itu. Sebelum mengambil Latrodectus, kelompok musuh menggunakan IcedID, tambahnya.
Pada bulan Februari, peneliti menemukan kelompok lain, TA578, mendistribusikan Latrodectus dalam kampanye yang mengirimkan ancaman tindakan hukum atas pelanggaran hak cipta sebagai umpan phishing.
Apakah Pengunduh Latrodectus adalah QBot Baru?
Pengunduh Latrodectus baru diposisikan untuk mengisi kekosongan yang ditinggalkan oleh penghapusan malware QBot (juga dikenal sebagai Qakbot) pada musim panas 2023, menurut pernyataan Ken Dunham, direktur ancaman dunia maya di Qualys Threat Research Unit.
“TA577 dan aktor lainnya berafiliasi dengan Qbot dan sekarang, kampanye malware baru, Latrodectus,” jelas Dunham. “Tampaknya pelaku di balik QBot merasakan dampak buruk dari penghapusan tahun lalu, dan bermigrasi ke basis kode dan infrastruktur baru ini pada musim gugur tahun 2023.”
Kesadaran akan Latrodectus yang secara aktif digunakan dalam kampanye email, bersama dengan kewaspadaan, akan membantu perusahaan mempertahankan diri dari pengunduh yang ditingkatkan versinya, saran para ahli. Itu laporan Latrodectus baru menyediakan taktik, teknik, dan prosedur untuk membantu.
“Ada kemungkinan bahwa ini bukan bentuk terakhir dari Latrodectus dan dapat terus berkembang dan lebih membedakan dirinya dari IcedID di masa depan,” tambah Neel. “Latrodectus saat ini didistribusikan melalui kampanye email, sehingga kebutuhan akan kesadaran phishing terus menjadi sangat penting.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off
