בהתחלה, אנליסטים חשבו שההורדה היא גרסה של תוכנה זדונית ידועה IcedID - אבל מסתבר שלטרודקטוס הוא משהו חדש לגמרי.
התוכנה הזדונית נמצאת בשימוש על ידי מתווכים גישה ראשונית (IABs) בקמפיינים של איומים באימייל, וחוקרים מאחורי הגילוי ב-Proofpoint ו-Team Cymru S2 Threat Research Team צופים כי Latrodectus ימשיך לצבור תאוצה בקרב גורמי איומים. זה נובע במידה רבה מהיכולת שלו להתחמק מזיהוי ארגז חול, אמרו החוקרים.
"לאחר האתחול התוכנה הזדונית תבדוק את הסביבה שלה כדי לאשר שהיא לא פועלת בארגז חול על ידי אישור כמות התהליכים הרצים במכשיר, ולאחר מכן בדיקה לוודא שהיא פועלת על מארח 64 סיביות, ולבסוף התוכנה הזדונית נראית כדי לראות אם למארח יש כתובת MAC חוקית", לפי הצהרה מאת אדם ניל, מהנדס זיהוי איומים ב-Critical Start. "טכניקות התחמקות מארגזי חול אלו יכולות להאט את החוקרים והמגנים מניתוח דגימות של Latrodectus."
התגלה לראשונה בסוף שנת 2023, חלה עלייה ברורה בפעילות האיומים באמצעות המטען החדש במהלך פברואר ומרץ, הזהיר הדו"ח.
למרות שזה לא א גרסה של IcedID, החוקרים גילו שללטרודקטוס - שנקרא על שם מחרוזת קוד שנמצאה במהלך ניתוח - יש מאפיינים דומים, מה שהוביל את הצוות למסקנה ששניהם נוצרו על ידי אותם מפתחים.
הקבוצה הראשונה שמשתמשת ב-Latrodectus בנובמבר 2023 הייתה TA577, והוא מסתמך עליו כמעט אך ורק מאז אמצע ינואר 2024, נכתב בדו"ח. לפני שאספה את Latrodectus, קבוצת היריב השתמשה ב-IcedID, היא הוסיפה.
בפברואר, חוקרים גילו שקבוצה אחרת, TA578, מפיצה את Latrodectus בקמפיין ששלח איומים בתביעה משפטית בגין הפרת זכויות יוצרים כפתיונות דיוג.
האם Latrodectus Downloader הוא ה-QBot החדש?
הורדת Latrodectus החדשה מוצבת כדי למלא את החלל שהותיר הסרה של תוכנות זדוניות של QBot (הידוע גם בשם Qakbot) בקיץ 2023, לפי הצהרה של קן דנהאם, מנהל איומי סייבר ביחידת המחקר האיומים של Qualys.
"TA577 ושחקנים אחרים קשורים ל-Qbot ועכשיו, מסע פרסום חדש של תוכנות זדוניות, Latrodectus", הסביר דנהאם. "נראה כי השחקנים מאחורי QBot חשו את החום מההסרות בשנה שעברה, והיגרו לבסיס הקוד ולתשתית החדשים הללו בסתיו 2023."
מודעות לכך ש-Latrodectus נמצא בשימוש פעיל בקמפיינים בדוא"ל, יחד עם ערנות, יסייעו לארגונים להתגונן מפני הורדת המשודרג, כך מייעצים מומחים. ה דו"ח Latrodectus חדש מספק טקטיקות, טכניקות ונהלים כדי לעזור.
"ייתכן שזו לא הצורה האחרונה של Latrodectus והיא יכולה להמשיך לצמוח ולהבדיל את עצמה מ-IcedID יותר בעתיד", הוסיף ניל. "Latrodectus מופץ כעת באמצעות קמפיינים בדוא"ל, כך שהצורך במודעות להתחזות ממשיך להיות חשוב להפליא."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off
