Cez falošné e-maily sa šíri malvér LATRODECTUS, ktorý má byť nástupcom známejšieho škodlivého softvéru
Bezpečnostní experti pozorujú prudký nárast v popularite malvéru LATRODECTUS medzi kyberločincami.
V októbri sa bezpečnostným analytikom americkej obchodnej siete Walmart podarilo objaviť malvér loader LATRODECTUS, ktorý prudko naberal na popularite medzi kyberzločincami.
Tento loader sa vo všeobecnosti považuje za novú rodinu škodlivého softvéru, no bezpečnostní experti si všimli, že existuje silné prepojenie medzi LATRODECTUS a iným malvér loaderom ICEDID. Medzi zistené podobnosti sa radí aj príkazové rozhranie, ktoré sťahuje a následne spúšťa škodlivý softvér.
Čo sa však týka novinky LATRODECTUS, tam bezpečnostní analytici z Elastic poukazujú na to, že už základná verzia ponúka množstvo rôznych funkcií, ktoré môžu kyberzločinci využívať na vykonávanie dodatočných aktivít po napadnutí zariadenia.
Bezpečnostní experti pozorovali začiatkom marca tohto roku novú malvérovú kampaň. Tá prebiehala posielaním škodlivých e-mailov, ktoré obsahovali loader LATRODECTUS. Drvivá väčšina podvodných mailov sa dá ľahko rozpoznať, využíva totiž na infekciu príliš veľké súbory JavaScript.
Počas analýzy malvéru sa ukázalo, že v loaderi LATRODECTUS sa nachádza jedna zvláštna, no pozoruhodná funkcia. Loader má schopnosť sám sa vymazať počas toho, ako proces stále beží. S touto technikou sa bezpečnostní experti v malvér priestore stretávajú a používa ju napríklad ransomware ROOK.
Neprehliadni
Funkcionalitas malvéru závisí od príkazov, ktoré malvéru zadá útočník. Vo všeobecnosti sa ale zameriava na zber citlivých údajov a sťahovanie a spúšťanie ďalších škodlivých príkazov.
“Výskumníci nedokázali preukázať jasný vzťah medzi malvérmi ICEDID a LATRODECTUS, hoci sa javia aspoň povrchovo prepojené. Malvér ICEDID sa vyznačuje vyzretejšími schopnosťami,” vysvetľujú bezpečnostní experti.
Jednou z možných teórií je, že LATRODECTUS sa ešte len aktívne vyvíja. V tomto prípade môže slúžiť ako nástupca pre ICEDID.
V tejto dobe vyčíňajú aj iné loadery
V máji bezpečnostní experti ohlásili aj návrat modulárneho trojského koňa Zloader. Ten sa objavil v kyberpriestore po takmer dvojročnej pauze. Analytikov prekvapil malvér novou verziou, ktorá priniesla niekoľko nových nástrojov na vyhnutie sa odhaleniu.
Zaujímavú funkciu predstavuje okamžité zastavenie malvéru, ak sa spustí na inom zariadení, než aké prvotne infikoval. Zloader totiž kontroluje register Windowsu a špecifický kľúč, spolu s hodnotami. Tento malvér sa šíril cez podvodné webstránky vytvorené na populárnych platformách, ako napríklad Weebly.
Ďalšou zaujímavosťou tohto malvéru je, že zariadenie infikuje len v prípade, ak sa na podvodnú stránku dostane užívateľ nepriamo, teda napríklad cez výsledky internetového vyhľadávača Google. Ak užívateľ vstúpi na stránku priamo, teda cez URL, infekcia sa zastaví a nebude ďalej pokračovať.
Bezpečnostní experti poukazujú na to, že loadery ako LATRODECTUS sú novou formou malvéru. Sú ľahšie a viac priamejšie, pričom sa zameriavajú len na limitovaný počet takzvaných handlerov. Handler je softvérová rutina, ktorá vykonáva určitú úlohu, v tomto prípade získanie určitého súboru alebo stiahnutie škodlivého kódu.
Komentáre