Новые фишинговые атаки: Bumblebee и Latrodectus возвращаются и крадут ваши данные

Две группы вредоносного ПО, Bumblebee и Latrodectus, вновь появились на киберугрозах, воспользовавшись новыми фишинговыми кампаниями после операции по борьбе с киберпреступностью под названием Endgame. Эти загрузчики вредоносного ПО предназначены для кражи личных данных, а также для загрузки и выполнения дополнительных вредоносных компонентов на скомпрометированных системах.

Latrodectus, также известный под названиями BlackWidow, IceNova и другими, считается преемником IcedID благодаря инфраструктурным перекрытиям. Он использовался в кампаниях, связанных с двумя брокерами начального доступа (IAB) — TA577 (также известный как Water Curupira) и TA578. В мае 2024 года коалиция европейских стран сообщила о ликвидации более 100 серверов, связанных с несколькими вредоносными программами, включая IcedID, SystemBC и TrickBot.

Несмотря на то что Latrodectus не упоминался в операции, его инфраструктура также пострадала, но, как отметили эксперты, он быстро восстановился. Согласно анализу компании Trustwave, Latrodectus стал «отдельной угрозой», которая, воспользовавшись возможностями, освободившимися после ликвидации конкурентов, укрепила свои позиции как серьезный киберугроз.

Новые фишинговые схемы, использующие Latrodectus, в основном полагаются на кампании с вредоносными электронными письмами. Эти письма часто маскируются под законные уведомления от Microsoft Azure или Google Cloud и содержат PDF-файлы с вредоносными ссылками. В конечном итоге атаки приводят к развертыванию вредоносного DLL-файла, который активирует Latrodectus. В то же время Bumblebee также возобновил свою активность, используя ZIP-архивы, которые, вероятно, загружаются через фишинговые письма.