Latrodectus: Gefährlicher Nachfolger von IcedID

Forscher von Walmart entdeckten die Schadsoftware erstmals im Oktober 2023. Sie dient als Ersatz für die IcedID-Malware und wird von Bedrohungsakteuren wie TA577 und TA578 intensiv genutzt. Sie fungiert als Loader-Malware, deren Anfangsmodul an die Opfer verteilt wird und die für das Herunterladen und Installieren der nachfolgenden Stufen der Payload verantwortlich ist.

Latrodectus wird über Phishing-Kampagnen verbreitet. Während der Analyse wurde festgestellt, dass viele auf MalwareBazaar verfügbare Beispiele als legitime DLLs von Drittanbietern getarnt waren, was darauf hindeutet, dass sie auch über Malvertising und SEO-Poisoning verbreitet werden können. Die Schadsoftware wird oft über Antwortketten-Phishing-E-Mails eingeschleust, die gestohlene E-Mail-Konten nutzen, um bösartige Anhänge oder Links zu verteilen.

Die Infektionskette beginnt mit dem Download einer getarnten JavaScript-Datei, die zusätzliche bösartige Nutzdaten wie EXE- und DLL-Dateien lädt. Diese Dateien geben sich oft als legitime Software (z. B. Nvidia, Avast) aus, um unauffällig zu bleiben. Nach der Installation ermöglicht Latrodectus Angreifern über eine Hintertür den Fernzugriff und die Ausführung von Befehlen. Zusätzlich verfügt die Malware über Erkennungstechniken, die Sandbox-Umgebungen umgehen, und nutzt RC4-Verschlüsselung zur Verschleierung ihres Datenverkehrs. Latrodectus fungiert auch als Plattform für weitere Malware wie IcedID und Danabot.

Latrodectus ist aufgrund seiner Verbindungen zu bekannten Bedrohungsakteuren eine bedeutende Gefahr. Sie kann zusätzliche Malware-Nutzdaten herunterladen und sich herkömmlichen Erkennungsmethoden entziehen, was sie besonders gefährlich macht. Durch den Einsatz von Phishing- und „living-off-the-land“-Techniken kann sie unerkannt operieren und Systeme kompromittieren. Um dies zu bekämpfen, können die oben erwähnten Erkennungsstrategien in Logpoint SIEM implementiert werden.

Swachchhanda Shrawan Poudel

ist Security Researcher bei Logpoint.