Latrodectus, auch bekannt als BlackWidow, wurde von den gleichen Entwicklern wie die Malware IcedID geschaffen. Der Bedrohungsakteur ist auch unter dem Namen LUNAR SPIDER bekannt.
Forscher von Walmart entdeckten die Schadsoftware erstmals im Oktober 2023. Sie dient als Ersatz für die IcedID-Malware und wird von Bedrohungsakteuren wie TA577 und TA578 intensiv genutzt. Sie fungiert als Loader-Malware, deren Anfangsmodul an die Opfer verteilt wird und die für das Herunterladen und Installieren der nachfolgenden Stufen der Payload verantwortlich ist.
Latrodectus wird über Phishing-Kampagnen verbreitet. Während der Analyse wurde festgestellt, dass viele auf MalwareBazaar verfügbare Beispiele als legitime DLLs von Drittanbietern getarnt waren, was darauf hindeutet, dass sie auch über Malvertising und SEO-Poisoning verbreitet werden können. Die Schadsoftware wird oft über Antwortketten-Phishing-E-Mails eingeschleust, die gestohlene E-Mail-Konten nutzen, um bösartige Anhänge oder Links zu verteilen.
Infektionskette von Latrodectus
Die Infektionskette beginnt mit dem Download einer getarnten JavaScript-Datei, die zusätzliche bösartige Nutzdaten wie EXE- und DLL-Dateien lädt. Diese Dateien geben sich oft als legitime Software (z. B. Nvidia, Avast) aus, um unauffällig zu bleiben. Nach der Installation ermöglicht Latrodectus Angreifern über eine Hintertür den Fernzugriff und die Ausführung von Befehlen. Zusätzlich verfügt die Malware über Erkennungstechniken, die Sandbox-Umgebungen umgehen, und nutzt RC4-Verschlüsselung zur Verschleierung ihres Datenverkehrs. Latrodectus fungiert auch als Plattform für weitere Malware wie IcedID und Danabot.
Latrodectus ist aufgrund seiner Verbindungen zu bekannten Bedrohungsakteuren eine bedeutende Gefahr. Sie kann zusätzliche Malware-Nutzdaten herunterladen und sich herkömmlichen Erkennungsmethoden entziehen, was sie besonders gefährlich macht. Durch den Einsatz von Phishing- und „living-off-the-land“-Techniken kann sie unerkannt operieren und Systeme kompromittieren. Um dies zu bekämpfen, können die oben erwähnten Erkennungsstrategien in Logpoint SIEM implementiert werden, was wertvolle Einblicke in das Verhalten dieser Malware bietet und dazu beiträgt, ihre Auswirkungen einzudämmen.
Mehr bei Logpoint.com
Über Logpoint Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.
Passende Artikel zum Thema