Latrodectus Loader IOCs - Part 3

security IOC
Опубликовано

LATRODECTUS - это новый тип загрузчика вредоносного ПО, который был обнаружен исследователями Walmart в октябре 2023 года. Он набирает популярность среди киберпреступников и имеет сходство с другим загрузчиком под названием ICEDID. Эти два загрузчика имеют схожее поведение и развитие. Они оба используют обработчики команд для загрузки и выполнения зашифрованных полезных нагрузок. Компании Proofpoint и Team Cymru обнаружили тесную связь между сетевой инфраструктурой, используемой для ICEDID и LATRODECTUS.

LATRODECTUS имеет широкий спектр возможностей, которые позволяют злоумышленникам развертывать дополнительные вредоносные программы и выполнять различные действия после компрометации системы. Его кодовая база не обфусцирована и содержит всего 11 обработчиков команд, что делает его легким для анализа. Этот тип загрузчика стал наблюдаться недавно, подобно PIKABOT, который также имеет простой и легко понятный код.

Исследователи заметили увеличение кампаний по электронной почте, доставляющих LATRODECTUS, начиная с марта 2024 года. Эти кампании используют большие файлы JavaScript, которые вызывают msiexec.exe с помощью WMI и устанавливают удаленный MSI-файл. Поскольку другие загрузчики, такие как QBOT и ICEDID, стали менее активными, появилась потребность в новых загрузчиках, и LATRODECTUS стал одним из них.

При анализе LATRODECTUS было обнаружено, что он использует обфускацию строк для защиты своего кода. Он также обращается к API времени выполнения, чтобы разрешить импорты вредоносного ПО. Загрузчик также содержит механизмы антианализа, который проверяет наличие отладчика и выполняет другие проверки, чтобы избежать обнаружения в песочницах или виртуальных машинах.

Общий вывод состоит в том, что LATRODECTUS - это новый загрузчик вредоносного ПО, который становится популярным у киберпреступников. Он имеет сходство с ICEDID и предлагает различные возможности для развертывания вредоносных программ и выполнения действий после компрометации системы.

Indicators of Compromise

Domains

  • aytobusesre.com
  • gyxplonto.com
  • neaachar.com
  • scifimond.com

SHA256

  • aee22a35cbdac3f16c3ed742c0b1bfe9739a13469cf43b36fb2c63565111028c
Похожие записи:
  1. Latrodectus Loader IOCs
  2. Latrodectus Loader IOCs - Part 2
  3. Colibri Loader IOC
  4. Zloader 2 (Silent Night) Malware IOCs
  5. Bumblebee Loader IOCs
Elastic Latrodectus Loader
SEC-1275-1
Добавить комментарий