[Forcepoint分析报告] Latrodectus 恶意程式攻击升温，金融、汽车与医疗产业成主要目标

 

根据 Forcepoint 最新分析报告，一款绰号「黑寡妇」（BlackWidow）的 Latrodectus 恶意程式正被网路犯罪分子广泛运用，其攻击目标主要锁定金融、汽车和医疗产业。该恶意程式于 2023 年 10 月首次被发现，据信是由开发 IcedID（别名 BokBot）的 LunarSpider 骇客组织所开发，该组织与 WizardSpider 有关联。
 
Latrodectus 主要透过电子邮件钓鱼附件传播，攻击者使用 PDF 或 HTML 两种格式进行攻击。在 PDF 版本中，攻击者伪装成 DocuSign 请求；而 HTML 版本则会显示虚假的「显示失败」弹窗。当受害者点击连结后，混淆后的 JavaScript 会下载 DLL 档案，进而安装 Latrodectus 后门程式。一旦遭到感染，可能导致个资外泄、诈骗或勒索造成的财务损失，以及机密信息泄露。
 
两种攻击方式的主要区别在于：PDF 版本使用 JavaScript 下载 MSI 安装程式，而 HTML 版本则尝试直接使用 PowerShell 安装 DLL。攻击者透过大量无意义的注解来混淆恶意程式码，最终目的都是建立与指挥控制伺服器的连接，特别使用不常见的 8041 连接埠。
 
Forcepoint 研究人员指出，骇客持续使用包含可疑 PDF 或 HTML 附件的旧式电子邮件进行攻击，并利用 URL 缩短服务进行重定向，且将恶意程式寄存在知名的 storage.googleapis.com 专案中。该分析报告同时提供了与 Latrodectus 钓鱼活动相关的指挥控制域名和初始阶段 URL 等威胁指标（IoCs）。

本文转载自securityweek。

资安人原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11333