详细内容或原文请订阅后点击阅览
当心黑寡妇:Latrodectus 正在为您的数据编织致命的网络
研究人员记录到,使用危险恶意软件的活动急剧增加。
来源:安全实验室新闻频道研究人员记录到,使用危险恶意软件的活动急剧增加。
自今年 3 月初以来,网络安全研究人员记录到,旨在分发新的 Latrodectus 恶意软件下载器(翻译为“黑寡妇”)的网络钓鱼活动急剧增加,该下载器被认为是 IcedID 的继任者。
IcedIDElastic Security Labs 的专家 Daniel Stepanich 和 Samir Boussaden 报告称,这些活动使用大型 JavaScript 文件,利用 WMI 功能来启动“msiexec.exe”并通过 WEBDAV 安装远程托管的 MSI 文件。
弹性安全实验室 报告Latrodectus 具有恶意软件中的标准功能,旨在下载 QakBot、DarkGate 和 PikaBot 等附加负载,从而允许攻击者执行各种利用后活动。分析表明,该恶意软件积极参与枚举和执行命令,并且还包含自毁技术。
此外,Latrodectus 伪装成与合法软件关联的库,使用源代码混淆并执行解析检查以防止自身在调试或沙箱环境中运行。
该恶意软件还通过计划任务在 Windows 系统上建立持久存在,并通过 HTTPS 与命令和控制 (C2) 服务器通信,以接收允许其收集系统信息、更新、重新启动、关闭、启动 shell 的命令,等代码、DLL 和可执行文件。
窗口 C2去年年底添加到 Latrodectus 的新命令包括用于列出桌面上的文件以及获取受感染设备上正在运行的进程的整个链的命令。该恶意软件还支持下载和执行 IcedID 的命令,尽管 Elastic 研究人员尚未在实践中记录这种行为。