Les Capacités de Latrodectus Malware
Latrodectus dispose de fonctionnalités standard, typiques des malwares conçus pour déployer des charges utiles supplémentaires telles que QakBot, DarkGate et PikaBot, permettant aux attaquants de mener diverses activités après exploitation.
Une analyse des derniers artefacts de Latrodectus a révélé une attention particulière à l’énumération et à l’exécution, ainsi que l’intégration d’une technique d’auto-suppression pour supprimer les fichiers en cours d’exécution.
En plus de se déguiser en bibliothèques associées à des logiciels légitimes, le malware utilise l’obfuscation de code source et réalise des vérifications anti-analyse pour empêcher son exécution dans des environnements de débogage ou de sandbox.
Latrodectus établit également une persistance sur les hôtes Windows en utilisant une tâche planifiée et établit une communication avec un serveur de commande et de contrôle (C2) via HTTPS pour recevoir des commandes.
Les Nouvelles Fonctionnalités et Hypothèses sur Latrodectus
Deux nouvelles commandes ajoutées depuis l’émergence de Latrodectus l’année dernière incluent la capacité d’énumérer les fichiers dans le répertoire du bureau et de récupérer toute l’ascendance des processus en cours d’exécution sur la machine infectée.
Bien que la commande permettant de télécharger et d’exécuter IcedID (commande ID 18) existe, elle n’a pas été détectée en pratique.
Les chercheurs pensent que Latrodectus pourrait être développé pour remplacer IcedID, la fonctionnalité (#18) restant active jusqu’à ce que le développement du nouveau malware soit jugé suffisant.
Les Techniques d’Attaque et l’Évolution des Menaces
Une campagne de phishing utilisant des emails thématiques de factures QuickBooks a été analysée par Forcepoint.
Ces emails incitent les utilisateurs à installer Java via un lien intégré conduisant à une archive Java malveillante (JAR).
Ce fichier JAR exécute un script PowerShell qui télécharge et lance DarkGate via un script AutoIT.
Des campagnes de phishing exploitant une plateforme de phishing-as-a-service (PhaaS) appelée Tycoon ont été déployées pour collecter des cookies de session Microsoft 365 et Gmail et contourner les protections d’authentification multifactorielle (MFA).
Cette version améliorée de Tycoon utilise des techniques d’évasion de détection, rendant son identification et sa neutralisation plus difficiles pour les systèmes de sécurité.
MaaS et Autres Menaces Émergentes
Une autre menace, D3F@ck Loader, est apparue sur les forums de cybercriminalité en janvier 2024, diffusant les malwares Raccoon Stealer et DanaBot via des annonces Google impersonnant Calendly et Rufus.
Ceci illustre l’évolution du modèle de malware-as-a-service (MaaS), utilisant des certificats de validation étendue (EV) pour contourner les mesures de sécurité.
Enfin, de nouvelles familles de malwares comme Fletchen Stealer, WaveStealer, Zeus Stealer et Ziraat Stealer, ainsi que le trojan d’accès à distance (RAT) Remcos, ont été détectées utilisant un module PrivateLoader pour augmenter leurs capacités.
Remcos utilise des scripts VB, modifie le registre et configure des services pour relancer le malware à des moments variables ou sur commande, s’infiltrant complètement dans un système tout en restant indétectable.
Il est crucial de rester vigilant face à ces menaces et de mettre en œuvre des mesures de cybersécurité robustes pour protéger ses systèmes et données personnelles.
Le Cyber Risque de Latrodectus
Le malware Latrodectus présente un risque significatif pour les entreprises et les individus.
En se déguisant en bibliothèques légitimes et en utilisant l’obfuscation de code, ce malware peut facilement échapper aux systèmes de détection.
Une fois installé, il peut déployer des charges utiles supplémentaires comme QakBot ou DarkGate, compromettant davantage la sécurité des systèmes infectés.
Le principal impact pour les entreprises inclut la perte de données sensibles, des interruptions opérationnelles et des coûts accrus pour la réponse aux incidents.
Pour les individus, cela peut signifier un vol d’identité et une atteinte à la vie privée.
Se Protéger contre Latrodectus
Pour se prémunir contre Latrodectus, il est crucial d’adopter une approche multi-couches en cybersécurité.
Les entreprises devraient mettre en place des solutions de détection avancée qui incluent l’analyse comportementale et la surveillance des anomalies réseau.
L’éducation des utilisateurs contre les techniques de phishing et l’implémentation de politiques de mise à jour logicielle rigoureuses sont également essentielles.
De plus, l’activation de l’authentification multifactorielle (MFA) et l’utilisation de sandbox pour tester les pièces jointes suspectes peuvent prévenir l’infection initiale.
En combinant ces mesures, on peut considérablement réduire les risques associés à ce malware sophistiqué.
