Dvě rodiny malwaru, které utrpěly neúspěchy po koordinované operaci vymáhání práva nazvané Endgame, se znovu objevily jako součást nových phishingových kampaní. Bumblebee a Latrodectus, oba sloužící jako malware loadery, jsou navrženy ke krádeži osobních dat a stahování a spouštění dalších škodlivých kódů na kompromitovaných hostitelích. Latrodectus, sledovaný pod názvy BlackWidow, IceNova, Lotus nebo Unidentified 111, je také považován za nástupce IcedID kvůli překrývání infrastruktury mezi těmito dvěma rodinami malwaru. Byl používán v kampaních spojených se dvěma zprostředkovateli známými jako TA577 (také známý jako Water Curupira) a TA578.
V květnu 2024 koalice evropských zemí oznámila, že odstranila více než 100 serverů spojených s několika kmeny malwaru, jako jsou IcedID (a tím i Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee a TrickBot. „Ačkoli Latrodectus nebyl v operaci zmíněn, byl také ovlivněn a jeho infrastruktura se odpojila,“ poznamenal bezpečnostní výzkumník Bitsight João Batista v červnu 2024.
Kyberbezpečnostní firma Trustwave ve své analýze zveřejněné začátkem tohoto měsíce popsala Latrodectus jako výraznou hrozbu, která získala podporu po operaci Endgame. „I když byl zpočátku oslaben, Latrodectus se rychle vzpamatoval. Jeho pokročilé schopnosti zaplnily mezeru po jeho deaktivovaných protějšcích a etabloval se jako impozantní hrozba,“ uvedla kyberbezpečnostní společnost.
Útoky obvykle využívají kampaně malspam, zneužívají unesené e-mailová vlákna a vydávají se za legitimní entity jako Microsoft Azure a Google Cloud k aktivaci procesu nasazení malwaru. Nově pozorovaná infekční sekvence od Forcepoint a Logpoint postupuje stejnou cestou, přičemž e-mailové zprávy s tématem DocuSign nesou PDF přílohy obsahující škodlivý odkaz nebo HTML soubory s vloženým JavaScriptovým kódem, které jsou navrženy ke stažení MSI instalátoru a PowerShell skriptu.
Zdroj: thehackernews.com