Новости Latrodectus меняет облик: Azure и Cloudflare в руках хакеров

NewsMaker

I'm just a script
Премиум
14,097
20
8 Ноя 2022
Вредоносный загрузчик получил новый способ распространения и скрытности.


lbxrul4csjy7xyc6dt3t5unmsdnoc403.jpg


Злоумышленники начали использовать новую тактику для распространения вредоносного ПО Latrodectus через фишинговые кампании, маскируя его под уведомления от Microsoft Azure и Cloudflare . Такой механизм усложняет задачу почтовым системам безопасности в определении вредоносных писем.

Latrodectus (Unidentified 111, IceNova) представляет собой Для просмотра ссылки Войди или Зарегистрируйся который используется для загрузки дополнительных EXE- и DLL-файлов или выполнения команд. Latrodectus Для просмотра ссылки Войди или Зарегистрируйся специалисты из ProofPoint и Team Cymru.

По Для просмотра ссылки Войди или Зарегистрируйся исследователя безопасности ProxyLife и группы Cryptolaemus, последняя кампания Latrodectus использует поддельную капчу Cloudflare для обхода систем безопасности. Хакеры начинают распространение через фишинговые письма с ответами в цепочке, где вставляют в переписки вредоносные ссылки или вложения.

Фишинговые письма содержат PDF-вложения или встроенные URL, которые начинают цепочку атак, ведущую к установке вредоносного ПО Latrodectus. При нажатии на кнопку «Скачать документ», пользователи попадают на поддельную страницу проверки безопасности от Cloudflare, где предлагается решить простую математическую задачу. Метод предназначен для того, чтобы антивирусные сканеры не могли проследить весь путь атаки, и вредоносное ПО активировалось только у реального пользователя.


67p640f2gc74ztw1swl7z5gq7g87a122.png


PDF-документ, который якобы размещен в облаке Microsoft Azure (слева) и поддельная капча Cloudflare (справа)

При введении правильного ответа загружается JavaScript-файл, маскирующийся под документ, который содержит обфусцированный код. Код загружает MSI-файл из жестко закодированного URL. После установки MSI-файла в папку «%AppData%\Custom_update» помещается DLL-файл, который затем активируется через «rundll32.exe».

Latrodectus работает в фоновом режиме, ожидая установки дополнительных модулей или выполнения команд. На данный момент замечено, что Latrodectus доставил инфостилеры Lumma и Danabot . Учитывая, что Latrodectus Для просмотра ссылки Войди или Зарегистрируйся используется для первичного доступа к корпоративным сетям, заражение может привести к появлению более широкого спектра вредоносных программ в будущем, таких как Cobalt Strike, и мы также можем увидеть партнерские отношения с вымогательскими группами.

В случае заражения важно немедленно отключить затронутое устройство от сети и проверить сеть на наличие необычных активностей.
 
Источник новости
www.securitylab.ru

Похожие темы