Вредоносный загрузчик получил новый способ распространения и скрытности.
Злоумышленники начали использовать новую тактику для распространения вредоносного ПО Latrodectus через фишинговые кампании, маскируя его под уведомления от Microsoft Azure и Cloudflare. Такой механизм усложняет задачу почтовым системам безопасности в определении вредоносных писем.
Latrodectus (Unidentified 111, IceNova) представляет собой загрузчик вредоносного ПО, который используется для загрузки дополнительных EXE- и DLL-файлов или выполнения команд. Latrodectus анализировали специалисты из ProofPoint и Team Cymru.
По данным исследователя безопасности ProxyLife и группы Cryptolaemus, последняя кампания Latrodectus использует поддельную капчу Cloudflare для обхода систем безопасности. Хакеры начинают распространение через фишинговые письма с ответами в цепочке, где вставляют в переписки вредоносные ссылки или вложения.
Фишинговые письма содержат PDF-вложения или встроенные URL, которые начинают цепочку атак, ведущую к установке вредоносного ПО Latrodectus. При нажатии на кнопку «Скачать документ», пользователи попадают на поддельную страницу проверки безопасности от Cloudflare, где предлагается решить простую математическую задачу. Метод предназначен для того, чтобы антивирусные сканеры не могли проследить весь путь атаки, и вредоносное ПО активировалось только у реального пользователя.
PDF-документ, который якобы размещен в облаке Microsoft Azure (слева) и поддельная капча Cloudflare (справа)
При введении правильного ответа загружается JavaScript-файл, маскирующийся под документ, который содержит обфусцированный код. Код загружает MSI-файл из жестко закодированного URL. После установки MSI-файла в папку «%AppData%Custom_update» помещается DLL-файл, который затем активируется через «rundll32.exe».
Latrodectus работает в фоновом режиме, ожидая установки дополнительных модулей или выполнения команд. На данный момент замечено, что Latrodectus доставил инфостилеры Lumma и Danabot. Учитывая, что Latrodectus связан с IcedID используется для первичного доступа к корпоративным сетям, заражение может привести к появлению более широкого спектра вредоносных программ в будущем, таких как Cobalt Strike, и мы также можем увидеть партнерские отношения с вымогательскими группами.
В случае заражения важно немедленно отключить затронутое устройство от сети и проверить сеть на наличие необычных активностей.
Ваши гаджеты следят за вами. Мы знаем, как это остановить!
Присоединяйтесь
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
