Omija „piaskownicę”
„Latrodectus to zyskujący na popularności program pobierający z różnymi funkcjami pozwalającymi na ominięcie tzw. piaskownicy (środowiska testowego w IT – przyp. red.)” – stwierdzili naukowcy z Proofpoint i Team Cymru we wspólnej analizie, dodając, że jego zadaniem jest pobieranie ładunków i wykonywanie dowolnych poleceń.
Istnieją dowody sugerujące, że narzędzie pobierające zostało prawdopodobnie napisane przez te same podmioty zagrażające, które stoją za złośliwym oprogramowaniem IcedID. Co gorsza, narzędzie pobierające jest wykorzystywane przez brokerów początkowego dostępu (IAB) w celu ułatwienia wdrażania innego złośliwego oprogramowania.
Powiązany z dwoma różnymi IAB
Latrodectus był powiązany głównie z dwoma różnymi IAB śledzonymi przez Proofpoint pod nazwami TA577 (znany również jako Water Curupira) i TA578, z których pierwszy był również powiązany z dystrybucją QakBot i PikaBot. Od połowy stycznia 2024 r. był on wykorzystywany prawie wyłącznie przez TA578 w kampaniach zawierających zagrożenia e-mailowe, w niektórych przypadkach dostarczane poprzez infekcję DanaBot.Fałszywe instalatory programu Adobe Acrobat Reader są wykorzystywane do dystrybucji nowego wielofunkcyjnego szkodliwego oprogramowania o nazwie Byakugan.
Punktem wyjścia ataku jest plik PDF napisany w języku portugalskim, który po otwarciu wyświetla zamazany obraz i prosi ofiarę o kliknięcie łącza umożliwiającego pobranie aplikacji Reader w celu przejrzenia zawartości. Według Fortinet FortiGuard Labs kliknięcie adresu URL prowadzi do dostarczenia instalatora („Reader_Install_Setup.exe”), który aktywuje sekwencję infekcji. Szczegóły kampanii zostały po raz pierwszy ujawnione przez AhnLab Security Intelligence Center (ASEC) w marcu.
Jakie techniki wykorzystuje łańcuch ataków?
Łańcuch ataków wykorzystuje techniki takie jak przejmowanie bibliotek DLL i obejście kontroli dostępu użytkowników systemu Windows (UAC) w celu załadowania złośliwego pliku biblioteki dołączanej dynamicznie (DLL) o nazwie „BluetoothDiagnosticUtil.dll”, który z kolei ładuje i uwalnia ostateczny ładunek. Wdraża także legalny instalator czytnika plików PDF, taki jak Wondershare PDFelement.
Plik binarny jest przystosowany do gromadzenia i wydobywania metadanych systemowych na serwer dowodzenia i kontroli (C2) oraz upuszczania głównego modułu („chrome.exe”) z innego serwera, który działa również jako jego C2 do odbierania plików i poleceń.
- Byakugan to złośliwe oprogramowanie oparte na node.js spakowane do pliku wykonywalnego przez pkg – powiedział badacz bezpieczeństwa Pei Ha Obejmuje to konfigurowanie trwałości, monitorowanie pulpitu ofiary za pomocą OBS Studio, przechwytywanie zrzutów ekranu, pobieranie koparek kryptowalut, rejestrowanie naciśnięć klawiszy, wyliczanie i przesyłanie plików oraz pobieranie danych przechowywanych w przeglądarkach internetowych.
„Istnieje rosnąca tendencja do wykorzystywania w złośliwym oprogramowaniu zarówno czystych, jak i złośliwych komponentów, a Byakugan nie jest wyjątkiem” – stwierdził Fortinet. „To podejście zwiększa ilość szumu generowanego podczas analizy, co utrudnia dokładne wykrycie”. Ujawnienie następuje po ujawnieniu przez ASEC nowej kampanii propagującej złodzieja informacji Rhadamanthys pod postacią instalatora oprogramowania do pracy grupowej.
„Przestępca stworzył fałszywą witrynę internetową przypominającą oryginalną i udostępnił ją użytkownikom, korzystając z funkcji reklam w wyszukiwarkach” – podała południowokoreańska firma zajmująca się cyberbezpieczeństwem. „Rozpowszechniane złośliwe oprogramowanie wykorzystuje technikę pośredniego wywołania systemowego, aby ukryć się przed oczami rozwiązań bezpieczeństwa”.
Jest to również następstwem odkrycia, że niezidentyfikowani ugrupowania zagrażające wykorzystują zmanipulowaną wersję programu Notepad++ do rozprzestrzeniania złośliwego oprogramowania WikiLoader (znanego również jako WailingCrab).
