Злоумышленники начали использовать новую тактику для распространения вредоносного ПО Latrodectus через фишинговые кампании, маскируя его под уведомления от Microsoft Azure и Cloudflare. Такой механизм усложняет задачу почтовым системам безопасности в определении вредоносных писем.
Latrodectus (Unidentified 111, IceNova) представляет собой загрузчик вредоносного ПО, который используется для загрузки дополнительных EXE- и DLL-файлов или выполнения команд. Latrodectus анализировали специалисты из ProofPoint и Team Cymru.
По даннымисследователя безопасности ProxyLife и группы Cryptolaemus, последняя кампания Latrodectus использует поддельную капчу Cloudflare для обхода систем безопасности. Хакеры начинают распространение через фишинговые письма с ответами в цепочке, где вставляют в переписки вредоносные ссылки или вложения.
Фишинговые письма содержат PDF-вложения или встроенные URL, которые начинают цепочку атак, ведущую к установке вредоносного ПО Latrodectus. При нажатии на кнопку “Скачать документ”, пользователи попадают на поддельную страницу проверки безопасности от Cloudflare, где предлагается решить простую математическую задачу. Метод предназначен для того, чтобы антивирусные сканеры не могли проследить весь путь атаки, и вредоносное ПО активировалось только у реального пользователя.
PDF-документ, который якобы размещен в облаке Microsoft Azure (слева) и поддельная капча Cloudflare (справа)
При введении правильного ответа загружается JavaScript-файл, маскирующийся под документ, который содержит обфусцированный код. Код загружает MSI-файл из жестко закодированного URL. После установки MSI-файла в папку “%AppData%Custom_update” помещается DLL-файл, который затем активируется через “rundll32.exe”.
Latrodectus работает в фоновом режиме, ожидая установки дополнительных модулей или выполнения команд. На данный момент замечено, что Latrodectus доставил инфостилеры Lumma и Danabot. Учитывая, что Latrodectus связан с IcedID используется для первичного доступа к корпоративным сетям, заражение может привести к появлению более широкого спектра вредоносных программ в будущем, таких как Cobalt Strike, и мы также можем увидеть партнерские отношения с вымогательскими группами.
В случае заражения важно немедленно отключить затронутое устройство от сети и проверить сеть на наличие необычных активностей.