Latrodectus-Malware in Phishing-Kampagne verbreitet

Bedrohungsermittler haben eine neu identifizierte Schadsoftware namens Latrodectus entdeckt, die seit mindestens Ende November 2023 über E-Mail-Phishing-Kampagnen verbreitet wird.

Latrodectus wird als neuer Downloader beschrieben, der über zahlreiche Funktionen verfügt, um der Erkennung in Sandbox-Umgebungen zu entgehen. Er ist darauf ausgelegt, Payloads abzurufen und Befehle auszuführen, wie aus einer aktuellen gemeinsamen Analyse von Forschern von Proofpoint und Team Cymru hervorgeht.

Es gibt Hinweise darauf, dass die Entwickler von Latrodectus wahrscheinlich dieselben Personen sind, die auch für die Entwicklung der Schadsoftware IcedID verantwortlich sind. Dieser Downloader wird von Initial Access Brokers (IABs) verwendet, um die Bereitstellung weiterer Schadsoftware zu optimieren.

Latrodectus mit zwei APTs in Verbindung gebracht

Latrodectus wird hauptsächlich mit zwei unterschiedlichen IABs in Verbindung gebracht, die als TA577 (auch als Water Curupira bezeichnet) und TA578 bekannt sind. TA577 wurde zuvor mit der Verbreitung von QakBot und PikaBot in Verbindung gebracht.

Seit Mitte Januar 2024 wird Latrodectus hauptsächlich von TA578 in E-Mail-Bedrohungskampagnen verwendet und manchmal über eine DanaBot-Infektion übertragen.

TA578 ist seit mindestens Mai 2020 aktiv und war an E-Mail-Kampagnen beteiligt, die verschiedene Schadsoftware wie Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike und Bumblebee verbreiteten.

Art der Infiltration

Die Angriffsmethode besteht normalerweise darin, Kontaktformulare auf Websites zu verwenden, um den Zielen rechtliche Drohungen im Zusammenhang mit angeblichen Urheberrechtsverletzungen zu senden. Die eingebetteten Links leiten die Empfänger auf eine betrügerische Website und verleiten sie dazu, eine JavaScript-Datei herunterzuladen, die für die Initiierung der Hauptnutzlast mithilfe von msiexec verantwortlich ist.

Bei einer Infektion sendet Latrodectus verschlüsselte Systeminformationen an seinen Command-and-Control-Server (C2) und fordert den Download des Bots an. Nach der Registrierung beim C2 wartet er auf Befehle vom Server.

Latrodectus verfügt über Funktionen zum Erkennen von Sandbox-Umgebungen, indem es das Vorhandensein einer gültigen MAC-Adresse und einer ausreichenden Anzahl laufender Prozesse auf Systemen mit Windows 10 oder neuer überprüft.

Ähnlich wie IcedID übermittelt Latrodectus Registrierungsinformationen über eine POST-Anfrage an den C2-Server, wobei die Daten verschlüsselt und HTTP-Parameter aneinandergereiht werden. Anschließend wartet es auf weitere Anweisungen vom Server.

Die an Latrodectus gesendeten Befehle ermöglichen ihm das Aufzählen von Dateien und Prozessen, das Ausführen von Binär- und DLL-Dateien, die Ausführung beliebiger Anweisungen über cmd.exe, die Selbstaktualisierung und das Beenden laufender Prozesse.

Weitere Untersuchungen der Angreifer-Infrastruktur zeigen, dass die ersten C2-Server am 18. September 2023 aktiv wurden und mit einem vorgelagerten Tier-2-Server kommunizierten, der etwa im August 2023 eingerichtet wurde.

Die Verbindung zwischen Latrodectus und IcedID wird durch die Tatsache deutlich, dass der Tier-2-Server Verbindungen mit der mit IcedID verknüpften Backend-Infrastruktur aufrechterhält und Jumpboxen verwendet, die zuvor mit IcedID-Operationen verknüpft waren.