Το κακόβουλο λογισμικό Latrodectus είναι το τελευταίο που υιοθετεί την ευρέως διαδεδομένη τεχνική κοινωνικής μηχανικής ClickFix ως μέθοδο διανομής.
«Η τεχνική ClickFix είναι ιδιαίτερα επικίνδυνη επειδή επιτρέπει την εκτέλεση του κακόβουλου λογισμικού στη μνήμη αντί να αποθηκεύεται στον δίσκο», ανέφερε η εταιρεία κυβερνοασφάλειας Expel σε σχετική έκθεση που κοινοποιήθηκε στο The Hacker News. «Αυτό μειώνει τις πιθανότητες να εντοπιστεί ή να μπλοκαριστεί από προγράμματα περιήγησης ή εργαλεία ασφαλείας».
Το Latrodectus, που θεωρείται ο διάδοχος του IcedID, λειτουργεί ως downloader για άλλες κακόβουλες εντολές, όπως ransomware. Τεκμηριώθηκε για πρώτη φορά από τις εταιρείες Proofpoint και Team Cymru τον Απρίλιο του 2024.
Αξιοσημείωτο είναι πως το συγκεκριμένο λογισμικό περιλαμβάνεται ανάμεσα σε άλλα που υπέστησαν πλήγμα στη λειτουργία τους, στο πλαίσιο της επιχείρησης Operation Endgame, κατά την οποία καταργήθηκαν 300 servers παγκοσμίως και εξουδετερώθηκαν 650 domains που σχετίζονταν με τα Bumblebee, Lactrodectus, QakBot, HijackLoader, DanaBot, TrickBot και WARMCOOKIE μεταξύ 19 και 22 Μαΐου 2025.
Latrodectus: Πώς εξαπατούνται οι χρήστες
Στο πιο πρόσφατο κύμα επιθέσεων με Latrodectus, που παρατηρήθηκε από την Expel τον Μάιο του 2025, οι ανυποψίαστοι χρήστες παρασύρονται να αντιγράψουν και να εκτελέσουν εντολές PowerShell από μολυσμένους ιστότοπους – μία τεχνική που έχει καθιερωθεί για τη διανομή ευρείας γκάμας κακόβουλου λογισμικού.
«Όταν εκτελούνται από τον χρήστη, αυτές οι εντολές προσπαθούν να εγκαταστήσουν ένα αρχείο μέσω του MSIExec από απομακρυσμένο URL και στη συνέχεια να το εκτελέσουν απευθείας στη μνήμη», ανέφερε η Expel. «Έτσι ο εισβολέας αποφεύγει την αποθήκευση του αρχείου στο δίσκο, μειώνοντας τον κίνδυνο εντοπισμού από browser ή antivirus».
Ο installer του MSI περιέχει μια νόμιμη εφαρμογή της NVIDIA, η οποία χρησιμοποιείται για να γίνει sideload ενός κακόβουλου DLL. Αυτό, στη συνέχεια, αξιοποιεί το curl για να κατεβάσει το κύριο φορτίο.
Για την αντιμετώπιση τέτοιων επιθέσεων, συνιστάται η απενεργοποίηση του Windows Run μέσω Group Policy Objects (GPOs) ή η απενεργοποίηση του πλήκτρου συντόμευσης «Windows + R» μέσω αλλαγών στο Windows Registry.
Από το ClickFix στο TikTok
Η αποκάλυψη έρχεται καθώς η Trend Micro έδωσε στη δημοσιότητα λεπτομέρειες για νέα καμπάνια κοινωνικής μηχανικής, η οποία αντί για πλαστές σελίδες CAPTCHA χρησιμοποιεί βίντεο TikTok —πιθανώς παραγόμενα με εργαλεία τεχνητής νοημοσύνης (AI)— για να διανείμει τα κακόβουλα λογισμικά Vidar και StealC.
Τα βίντεο καθοδηγούν τους χρήστες να εκτελέσουν επικίνδυνες εντολές προκειμένου να «ενεργοποιήσουν» εφαρμογές όπως τα Windows, Microsoft Office, CapCut και Spotify. Αυτά τα βίντεο είχαν αναρτηθεί από διάφορους λογαριασμούς TikTok όπως οι @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc και @digitaldreams771, οι οποίοι πλέον δεν είναι ενεργοί.
Ένα από τα βίντεο, το οποίο δήθεν παρέχει οδηγίες για να «βελτιώσεις άμεσα την εμπειρία σου στο Spotify», έφτασε σχεδόν τις 500.000 προβολές, με πάνω από 20.000 likes και περισσότερα από 100 σχόλια.
Η καμπάνια σηματοδοτεί μια νέα κλιμάκωση της τεχνικής ClickFix, καθώς οι χρήστες που αναζητούν τρόπους να ενεργοποιήσουν πειρατικές εφαρμογές, καθοδηγούνται λεκτικά και οπτικά να πατήσουν «Windows + R», να ανοίξουν το PowerShell και να τρέξουν τις εντολές που παρουσιάζονται στο βίντεο – με αποτέλεσμα να θέτουν μόνοι τους το σύστημά τους σε κίνδυνο.
«Οι απειλητικοί παράγοντες χρησιμοποιούν πλέον βίντεο TikTok που πιθανόν έχουν παραχθεί με εργαλεία τεχνητής νοημοσύνης, για να πείσουν τους χρήστες να εκτελέσουν εντολές PowerShell, υποτίθεται για να ενεργοποιήσουν νόμιμο λογισμικό ή να ξεκλειδώσουν premium δυνατότητες», δήλωσε η ερευνήτρια ασφαλείας Junestherry Dela Cruz.
Κυβερνοασφάλεια και κοινωνικά δίκτυα
«Η καμπάνια αυτή δείχνει ότι οι κυβερνοεγκληματίες είναι πρόθυμοι να εκμεταλλευτούν κάθε δημοφιλή πλατφόρμα κοινωνικής δικτύωσης για τη διανομή κακόβουλου λογισμικού».
Ψεύτικες εφαρμογές Ledger στοχεύουν χρήστες Mac
Παράλληλα, εντοπίστηκαν τέσσερις διαφορετικές καμπάνιες malware που χρησιμοποιούν κλωνοποιημένες εκδόσεις της εφαρμογής Ledger Live με στόχο την κλοπή ευαίσθητων δεδομένων όπως οι seed phrases, με απώτερο σκοπό την αποστράγγιση κρυπτονομισματικών πορτοφολιών.
Οι επιθέσεις χρησιμοποιούν κακόβουλα DMG αρχεία, τα οποία, μόλις εκτελεστούν, ενεργοποιούν AppleScript για να εξάγουν κωδικούς πρόσβασης και δεδομένα από τις Apple Notes και στη συνέχεια κατεβάζουν μία τροποποιημένη έκδοση του Ledger Live. Μόλις ανοίξει η εφαρμογή, εμφανίζεται προειδοποίηση για «υποτιθέμενο πρόβλημα λογαριασμού» και ζητείται από τον χρήστη η seed phrase για «ανάκτηση». Η φράση αποστέλλεται σε διακομιστή που ελέγχουν οι επιτιθέμενοι.
Η ομάδα Moonlock Lab που αποκάλυψε την εκστρατεία, ανέφερε ότι οι ψεύτικες εφαρμογές αξιοποιούν macOS stealer malware όπως τα Atomic macOS Stealer (AMOS) και Odyssey, με το τελευταίο να εισάγει αυτήν τη νέα τεχνική phishing τον Μάρτιο του 2025.
Αξίζει να σημειωθεί πως η δραστηριότητα αυτή συμπίπτει με καμπάνια malware που στοχεύει χρήστες της Ledger Live μέσω PyInstaller-packed binaries, όπως αποκάλυψε η Jamf τον ίδιο μήνα.
«Στα dark web forums, οι συζητήσεις γύρω από αντι-Ledger απάτες αυξάνονται. Το επόμενο κύμα ήδη διαμορφώνεται», ανέφερε η ομάδα κυβερνοασφάλειας της MacPaw.
«Οι χάκερ θα συνεχίσουν να εκμεταλλεύονται την εμπιστοσύνη που δείχνουν οι κάτοχοι κρυπτονομισμάτων στην εφαρμογή Ledger Live».
