Latrodectus-Malware

Sicherheitsanalysten haben eine neuartige Schadsoftware namens Latrodectus entdeckt, die seit mindestens Ende November 2023 durch Phishing-Versuche per E-Mail im Umlauf ist. Latrodectus ist ein neuartiger Downloader, der mit verschiedenen Möglichkeiten zur Umgehung von Sandboxen ausgestattet ist und sorgfältig darauf ausgelegt ist, Payloads abzurufen und beliebige Befehle auszuführen.

Es gibt Hinweise darauf, dass die Entwickler der berüchtigten IcedID- Malware wahrscheinlich hinter der Entwicklung von Latrodectus stecken. Dieser Downloader wird von Initial Access Brokers (IABs) eingesetzt, um die Bereitstellung anderer Schadsoftware zu optimieren.

Latrodectus wird hauptsächlich mit zwei unterschiedlichen IABs in Verbindung gebracht, die als TA577 (auch als Water Curupira bekannt) und TA578 identifiziert werden. Bemerkenswerterweise wurde TA577 auch mit der Verbreitung von QakBot und PikaBot in Verbindung gebracht.

Latrodectus könnte ältere Malware-Bedrohungen ablösen

Bis Mitte Januar 2024 wurde Latrodectus vorwiegend von TA578 in E-Mail-basierten Bedrohungskampagnen eingesetzt und oft über DanaBot- Infektionen verbreitet. TA578, ein seit mindestens Mai 2020 bekannter Akteur, wurde mit verschiedenen E-Mail-Kampagnen in Verbindung gebracht, die Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike und Bumblebee verbreiteten.

Bei den Angriffen werden Kontaktformulare von Websites ausgenutzt, um den Zielorganisationen rechtliche Drohungen wegen angeblicher Urheberrechtsverletzungen zu senden. In diese Nachrichten eingebettete Links leiten die Empfänger auf betrügerische Websites um und fordern sie auf, eine JavaScript-Datei herunterzuladen, die für die Initiierung der primären Nutzlast über msiexec verantwortlich ist.

Latrodectus verschlüsselt Systemdaten und leitet sie an den Command-and-Control-Server (C2) weiter. Dabei wird eine Anfrage zum Bot-Download gestartet. Sobald der Bot Kontakt mit dem C2 hergestellt hat, fordert er von ihm Befehle an.

Die Latrodectus-Malware kann zahlreiche invasive Befehle ausführen

Die Malware kann Sandbox-Umgebungen erkennen, indem sie das Vorhandensein einer gültigen MAC-Adresse und mindestens 75 laufender Prozesse auf Systemen mit Windows 10 oder neuer überprüft.

Ähnlich wie IcedID ist Latrodectus so programmiert, dass es Registrierungsdetails per POST-Anfrage an den C2-Server überträgt, wo die Felder zu HTTP-Parametern verkettet und verschlüsselt werden. Anschließend wartet es auf weitere Anweisungen vom Server. Diese Befehle ermöglichen es der Malware, Dateien und Prozesse aufzulisten, Binärdateien und DLL-Dateien auszuführen, beliebige Anweisungen über cmd.exe auszugeben, den Bot zu aktualisieren und sogar laufende Prozesse zu beenden.

Eine genauere Untersuchung der Angreifer-Infrastruktur zeigt, dass die ersten C2-Server am 18. September 2023 betriebsbereit waren. Diese Server sind so konfiguriert, dass sie mit einem vorgelagerten Tier-2-Server interagieren, der etwa im August 2023 eingerichtet wurde.

Die Verbindung zwischen Latrodectus und IcedID wird durch die Verbindungen des T2-Servers mit der mit IcedID verknüpften Backend-Infrastruktur sowie durch die Verwendung von Jumpboxes deutlich, die zuvor an IcedID-Operationen gebunden waren.

Forscher erwarten einen Anstieg der Verwendung von Latrodectus durch finanziell motivierte Bedrohungsakteure im kriminellen Bereich, insbesondere durch diejenigen, die zuvor IcedID verbreitet haben.