Die Malware Black Widow ist der gefährliche Nachfolger von IcedID, berichtet Swachchhanda Shrawan Poudel, Security Researcher bei Logpoint. The Black Widow malware is the dangerous successor to IcedID, reports Swachchhanda Shrawan Poudel, security researcher at Logpoint.
Die schwarze Witwe schlägt zu: Die Malware Black Widow, auch bekannt unter dem wissenschaftlichen Namen Latrodectus, wurde von denselben Entwicklern wie die Malware IcedID geschaffen. Der für die Malware verantwortliche Bedrohungsakteur ist unter dem Namen LUNAR SPIDER bekannt. Forscher von Walmart entdeckten die Malware erstmals im Oktober 2023. Sie dient als Ersatz für die IcedID-Malware und wird von Bedrohungsakteuren wie TA577 und TA578 intensiv genutzt. Sie fungiert als Loader-Malware, deren anfängliches Modul an die Opfer verteilt wird und für das Herunterladen und Installieren der nachfolgenden Stufen der Payload verantwortlich ist. Die Malware wird derzeit nur von einem kleinen Teil der Anti-Viren-Software erkannt.

Latrodectus wird über Phishing-Kampagnen verbreitet. Während der Analyse wurde festgestellt, dass viele auf MalwareBazaar verfügbare Beispiele als legitime DLLs von Drittanbietern getarnt waren, was darauf hindeutet, dass sie auch über Malvertising und SEO-Poisoning verbreitet werden können. Die Schadsoftware wird oft über Antwortketten-Phishing-E-Mails eingeschleust, die gestohlene E-Mail-Konten nutzen, um bösartige Anhänge oder Links zu verteilen.

Die Infektionskette beginnt mit dem Download einer getarnten JavaScript-Datei, die zusätzliche bösartige Nutzdaten wie EXE- und DLL-Dateien lädt. Diese Dateien geben sich oft als legitime Software (z. B. Nvidia, Avast) aus, um unauffällig zu bleiben. Nach der Installation ermöglicht Latrodectus Angreifern über eine Hintertür den Fernzugriff und die Ausführung von Befehlen.

Zusätzlich verfügt die Malware über Erkennungstechniken, die Sandbox-Umgebungen umgehen, und nutzt RC4-Verschlüsselung zur Verschleierung ihres Datenverkehrs. Latrodectus fungiert auch als Plattform für weitere Malware wie IcedID und Danabot.

Latrodectus ist aufgrund seiner Verbindungen zu bekannten Bedrohungsakteuren eine bedeutende Gefahr. Sie kann zusätzliche Malware-Nutzdaten herunterladen und sich herkömmlichen Erkennungsmethoden entziehen, was sie besonders gefährlich macht. Durch den Einsatz von Phishing- und „living-off-the-land“-Techniken kann sie unerkannt operieren und Systeme kompromittieren. Um dies zu bekämpfen, können die oben erwähnten Erkennungsstrategien in Logpoint SIEM implementiert werden, was wertvolle Einblicke in das Verhalten dieser Malware bietet und dazu beiträgt, ihre Auswirkungen einzudämmen.

The Black Widow strikes: The Black Widow malware, also known by its scientific name Latrodectus, was created by the same developers as the IcedID malware. The threat actor responsible for the malware is known as LUNAR SPIDER. First discovered by Walmart researchers in October 2023, the malware serves as a replacement for the IcedID malware and is used extensively by threat actors such as TA577 and TA578. It acts as a loader malware, the first module of which is distributed to victims and is responsible for downloading and installing the subsequent stages of the payload. The malware is currently only detected by a small proportion of anti-virus software.

Latrodectus is distributed through phishing campaigns. Analysis has shown that many samples available on MalwareBazaar are disguised as legitimate third-party DLLs, suggesting that they can also be distributed via malvertising and SEO poisoning. The malware is often infiltrated via response chain phishing emails, which use stolen email accounts to distribute malicious attachments or links.

The infection chain begins with the download of a disguised JavaScript file, which loads additional malicious payloads such as EXE and DLL files. These files are often disguised as legitimate software (e.g. Nvidia, Avast) to avoid detection. Once installed, Latrodectus allows attackers to gain remote access and execute commands via a backdoor.

In addition, the malware has detection techniques that bypass sandbox environments and uses RC4 encryption to obfuscate its traffic. Latrodectus also acts as a platform for other malware such as IcedID and Danabot.

Latrodectus is a significant threat due to its links to known threat actors. It has the ability to download additional malware payloads and evade traditional detection methods, making it particularly dangerous. By using phishing and living-off-the-land techniques, it can operate undetected and compromise systems. To combat this, the above detection strategies can be implemented in Logpoint SIEM, providing valuable insight into the behaviour of this malware and helping to mitigate its impact.

Markus Fritz, General Manager DACH bei Acronis, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen eine umfassende Cybersicherheit benötigen. Markus Fritz, General Manager DACH at Acronis, explains in the podcast Security, Storage and Channel Germany with Carolina Heyder why companies need comprehensive cyber security.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner