新型Latrodectus病毒：由IcedID进化

Proofpoint和Team Cymru 专家发现了 一种新病毒，名为 Latrodectus，被认为是著名的IcedID下载器的演变，自 2023 年 11 月以来，该病毒一直在网络钓鱼电子邮件中活跃使用。

IcedID 于 2017 年首次被发现，被归类为模块化银行木马，旨在从受感染的计算机中窃取财务信息。随着时间的推移，它变得更加复杂，获得了逃避检测和执行命令的能力。

IcedID 最近已发展成 为用于传播其他类型恶意软件（包括勒索软件）的下载器。 2024 年 2 月，IcedID 运动的一位领导人 在美国联邦法院认罪 ；他每项指控都将面临最高 20 年的监禁。

根据 Proofpoint 和 Team Cymru 的研究，IcedID 和 Latrodectus 之间存在一定的联系，包括基础设施和操作方面的相似之处，表明后者是由 IcedID 的开发人员创建的。

IcedID 和 Latrodectus 基础设施重叠

Latrodectus 是一个能够从C2服务器接收额外恶意负载的下载程序。该病毒还执行各种检查来逃避检测，包括根据 Windows 版本要求运行进程的数量以及检查有效的 MAC 地址。

其中，Latrodectus 支持以下命令：

• 获取桌面上的文件名；
• 获取正在运行的进程列表；
• 发送有关系统的附加信息；
• 运行可执行文件；
• 执行DLL；
• 终止正在运行的进程。

攻击者通过填写反馈表并向目标组织报告版权侵权行为来发起攻击。在消息中，黑客还留下了一个链接，将受害者引导至 Google Firebase 页面，从该页面下载恶意 J​​avaScript 文件。然后，该文件使用 Windows Installer 启动包含恶意 Latrodectus 库的 MSI 文件。

版权侵权诱饵消息

该病毒的基础设施分为两层，这使其能够灵活地管理活动及其持续时间。新的 C2 服务器在攻击前的周末尤其活跃。

根据他们的研究，鉴于 Latrodectus 先进的规避能力和恶意负载，Proofpoint 对 Latrodectus 未来在网络犯罪活动中的使用表示担忧。据信，Latrodectus 在之前使用过 IcedID 的网络犯罪分子中传播的可能性仍然很高。