Исследователи фиксируют резкий рост кампаний с применением опасного вредоноса.
C начала марта этого года исследователи в области кибербезопасности зафиксировали резкий рост фишинговых кампаний, направленных на распространение нового загрузчика вредоносного ПО Latrodectus, который считается преемником IcedID .
Эксперты из Elastic Security Labs , Даниэль Степанич и Самир Буссаден, Для просмотра ссылки Войдиили Зарегистрируйся что эти кампании используют большие файлы JavaScript, которые задействуют возможности WMI для запуска «msiexec.exe» и установки удалённо размещённого MSI-файла через WEBDAV.
Latrodectus обладает стандартными функциями, характерными для вредоносного ПО, предназначенного для скачивания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, что позволяет злоумышленникам выполнять различные постэксплуатационные действия. Анализ показал, что вредоносное ПО активно занимается перечислением и выполнением команд, а также включает технику самоудаления.
Кроме того, Latrodectus маскируется под библиотеки, связанные с легитимным программным обеспечением, использует обфускацию исходного кода и проводит проверки на наличие анализа, чтобы предотвратить свою работу в среде отладки или песочнице.
Вредоносное ПО также устанавливает постоянное присутствие на системах Windows с помощью запланированных задач и устанавливает связь с сервером управления и контроля ( C2 ) через HTTPS для получения команд, позволяющих собирать информацию о системе, обновляться, перезапускаться, завершать свою работу, запускать шелл-код, DLL и исполняемые файлы.
Среди новых команд, добавленных в Latrodectus с конца прошлого года, есть команды для перечисления файлов на рабочем столе и получения всей цепочки выполняемых процессов на заражённом устройстве. Вредоносное ПО также поддерживает команду для загрузки и выполнения IcedID, хотя исследователи из Elastic не зафиксировали этого поведения на практике.
«Очевидно, что между IcedID и Latrodectus существует некая связь или рабочая договорённость», — заявили эксперты. «Существует гипотеза, что Latrodectus активно разрабатывается как замена IcedID, а команда загрузки #18 была включена, пока разработчики не убедятся в возможностях нового вредоносного ПО».
Таким образом, злоумышленники постоянно совершенствуют методы распространения вредоносного ПО, создавая новые изощренные загрузчики и боты для проникновения в компьютерные системы. Они адаптируются и используют передовые техники маскировки, чтобы избежать обнаружения антивирусными программами.
Крайне важно регулярно обновлять средства безопасности, повышать осведомлённость пользователей и внедрять многоуровневую защиту для противодействия постоянно меняющимся киберугрозам.
C начала марта этого года исследователи в области кибербезопасности зафиксировали резкий рост фишинговых кампаний, направленных на распространение нового загрузчика вредоносного ПО Latrodectus, который считается преемником IcedID .
Эксперты из Elastic Security Labs , Даниэль Степанич и Самир Буссаден, Для просмотра ссылки Войди
Latrodectus обладает стандартными функциями, характерными для вредоносного ПО, предназначенного для скачивания дополнительных полезных нагрузок, таких как QakBot, DarkGate и PikaBot, что позволяет злоумышленникам выполнять различные постэксплуатационные действия. Анализ показал, что вредоносное ПО активно занимается перечислением и выполнением команд, а также включает технику самоудаления.
Кроме того, Latrodectus маскируется под библиотеки, связанные с легитимным программным обеспечением, использует обфускацию исходного кода и проводит проверки на наличие анализа, чтобы предотвратить свою работу в среде отладки или песочнице.
Вредоносное ПО также устанавливает постоянное присутствие на системах Windows с помощью запланированных задач и устанавливает связь с сервером управления и контроля ( C2 ) через HTTPS для получения команд, позволяющих собирать информацию о системе, обновляться, перезапускаться, завершать свою работу, запускать шелл-код, DLL и исполняемые файлы.
Среди новых команд, добавленных в Latrodectus с конца прошлого года, есть команды для перечисления файлов на рабочем столе и получения всей цепочки выполняемых процессов на заражённом устройстве. Вредоносное ПО также поддерживает команду для загрузки и выполнения IcedID, хотя исследователи из Elastic не зафиксировали этого поведения на практике.
«Очевидно, что между IcedID и Latrodectus существует некая связь или рабочая договорённость», — заявили эксперты. «Существует гипотеза, что Latrodectus активно разрабатывается как замена IcedID, а команда загрузки #18 была включена, пока разработчики не убедятся в возможностях нового вредоносного ПО».
Таким образом, злоумышленники постоянно совершенствуют методы распространения вредоносного ПО, создавая новые изощренные загрузчики и боты для проникновения в компьютерные системы. Они адаптируются и используют передовые техники маскировки, чтобы избежать обнаружения антивирусными программами.
Крайне важно регулярно обновлять средства безопасности, повышать осведомлённость пользователей и внедрять многоуровневую защиту для противодействия постоянно меняющимся киберугрозам.
- Источник новости
- www.securitylab.ru