Latrodectus: Gefährlicher Nachfolger von IcedID

Forscher von Walmart entdeckten die Schadsoftware erstmals im Oktober 2023. Sie dient als Ersatz für die IcedID-Malware und wird von Bedrohungsakteuren wie TA577 und TA578 intensiv genutzt. Sie fungiert als Loader-Malware, deren Anfangsmodul an die Opfer verteilt wird und die für das Herunterladen und Installieren der nachfolgenden Stufen der Payload verantwortlich ist.

Latrodectus wird über Phishing-Kampagnen verbreitet. Während der Analyse wurde festgestellt, dass viele auf MalwareBazaar verfügbare Beispiele als legitime DLLs von Drittanbietern getarnt waren, was darauf hindeutet, dass sie auch über Malvertising und SEO-Poisoning verbreitet werden können. Die Schadsoftware wird oft über Antwortketten-Phishing-E-Mails eingeschleust, die gestohlene E-Mail-Konten nutzen, um bösartige Anhänge oder Links zu verteilen.

Die Infektionskette beginnt mit dem Download einer getarnten JavaScript-Datei, die zusätzliche bösartige Nutzdaten wie EXE- und DLL-Dateien lädt. Diese Dateien geben sich oft als legitime Software (z. B. Nvidia, Avast) aus, um unauffällig zu bleiben. Nach der Installation ermöglicht Latrodectus Angreifern über eine Hintertür den Fernzugriff und die Ausführung von Befehlen. Zusätzlich verfügt die Malware über Erkennungstechniken, die Sandbox-Umgebungen umgehen, und nutzt RC4-Verschlüsselung zur Verschleierung ihres Datenverkehrs. Latrodectus fungiert auch als Plattform für weitere Malware wie IcedID und Danabot.

Latrodectus ist aufgrund seiner Verbindungen zu bekannten Bedrohungsakteuren eine bedeutende Gefahr. Sie kann zusätzliche Malware-Nutzdaten herunterladen und sich herkömmlichen Erkennungsmethoden entziehen, was sie besonders gefährlich macht. Durch den Einsatz von Phishing- und „living-off-the-land“-Techniken kann sie unerkannt operieren und Systeme kompromittieren. Um dies zu bekämpfen, können die oben erwähnten Erkennungsstrategien in Logpoint SIEM implementiert werden.

Swachchhanda Shrawan Poudel

ist Security Researcher bei Logpoint.

Roger Homrich

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

17 Stunden ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

19 Stunden ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

21 Stunden ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

3 Tagen ago