{
	"id": "ab6ee3ef-a4b8-42dc-9a4e-a5d463868700",
	"created_at": "2026-04-06T00:19:11.184748Z",
	"updated_at": "2026-04-10T13:12:24.750938Z",
	"deleted_at": null,
	"sha1_hash": "a4487237c7e7bdd60f26dcaab4c21fe16ed79925",
	"title": "Die rasante Evolution von Latrodectus geht mit den neuesten neuen Nutzlastfunktionen weiter",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 896068,
	"plain_text": "Die rasante Evolution von Latrodectus geht mit den neuesten\r\nneuen Nutzlastfunktionen weiter\r\nBy Leandro Fróes\r\nPublished: 2024-08-29 · Archived: 2026-04-05 14:28:39 UTC\r\nZusammenfassung\r\nLatrodectus ist ein Downloader, der erstmals im Oktober 2023 von Walmart entdeckt wurde. Die Malware wurde\r\naufgrund ihrer Ähnlichkeiten mit der berühmten IcedID-Malware sehr berühmt, nicht nur im Code selbst, sondern\r\nauch in der Infrastruktur, wie zuvor von Proofpoint und Team Cymru S2 berichtet wurde . \r\nDie Malware wird in der Regel über E-Mail-Spam-Kampagnen verbreitet, die von zwei bestimmten\r\nBedrohungsakteuren durchgeführt werden: TA577 und TA578. Zu den verschiedenen Funktionen, die es enthält,\r\ngehört die Möglichkeit, zusätzliche Nutzlasten herunterzuladen und auszuführen, Systeminformationen zu\r\nsammeln und an den C2 zu senden, Prozesse zu beenden und vieles mehr. Im Juli 2024 wurde auch Latrodectus\r\nbeobachtet , wie er von einem BRC4-Dachs entbunden wurde.\r\nWährend der Jagdaktivitäten in den Threat Labs haben wir eine neue Version der Latrodectus-Payload entdeckt,\r\nVersion 1.4. Die Malware-Updates umfassen einen anderen Ansatz zur Entschleierung von Zeichenfolgen, einen\r\nneuen C2-Endpunkt, zwei neue Backdoor-Befehle und vieles mehr.\r\nIn diesem Blog konzentrieren wir uns auf die Funktionen, die in dieser neuen Version hinzugefügt/aktualisiert\r\nwurden.\r\nAnalyse von JavaScript-Dateien\r\nDie erste Nutzlast der Infektionskette ist eine JavaScript-Datei, die mit einem ähnlichen Ansatz verschleiert\r\nwurde, der von anderen Latrodectus-Kampagnen verwendet wird. Die Verschleierungstechnik wird verwendet,\r\nindem der Datei mehrere Kommentare hinzugefügt werden, was die Analyse erschwert und die Dateigröße\r\nerheblich erhöht.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 1 of 22\n\nDer relevante Code befindet sich zwischen den Junk-Kommentaren und sobald er aus der Datei entfernt wurde,\r\nkönnen wir den Code sehen, der ausgeführt werden würde.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 2 of 22\n\nDie Malware sucht nach Zeilen, die mit dem String \"/////\" beginnen, legt sie in einen Puffer und führt sie als JS-Funktion aus. Die ausgeführte Funktion lädt dann eine MSI-Datei von einem Remote-Server herunter und führt\r\nsie aus/installiert sie.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 3 of 22\n\nAnalyse von MSI-Dateien\r\nNach der Ausführung/Installation verwendet die MSI-Datei das rundll32.exe Windows-Tool, um eine DLL mit\r\ndem Namen \"nvidia.dll\" zu laden und ruft eine Funktion mit dem Namen \"AnselEnableCheck\" auf, die von dieser\r\nDLL exportiert wird. Die bösartige DLL wird in einer CAB-Datei mit dem Namen \"disk1\" gespeichert, die in der\r\nMSI-Datei selbst vorhanden ist:\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 4 of 22\n\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 5 of 22\n\nKryptor-Analyse\r\nAls Versuch, die Hauptnutzlast zu verschleiern, die \"nvidia.dll\" file verwendet einen Crypter namens Dave.\r\nDiesen Crypter gibt es schon seit langer Zeit und wurde in der Vergangenheit von anderer Malware wie Emotet,\r\nBlackBasta und früheren Versionen von Latrodectus verwendet.\r\nDer Crypter speichert die Payload, die ausgeführt werden soll, entweder in einer Ressource oder in einem\r\nAbschnitt. In der analysierten Probe wird die Nutzlast in einem Abschnitt mit dem Namen \"V+N\" gespeichert.\r\nDie Schritte zum Entschleiern, Laden und Ausführen der endgültigen Nutzlast sind recht einfach. Die Malware\r\nverschiebt einen Schlüssel in den Stack und löst die Windows-API-Funktionen VirtualAlloc, LoadLibrary und\r\nGetProcAddress auf.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 6 of 22\n\nAnschließend wird der Speicher mithilfe der VirtualAlloc-Funktion zugewiesen und eine Multi-Byte-XOR-Operation für die Daten im genannten Abschnitt unter Verwendung des zuvor festgelegten Schlüssels ausgeführt,\r\nund das Ergebnis der Operation ist die endgültige Nutzlast. Die nächsten Schritte umfassen das Ausrichten der\r\nNutzlast im Speicher und den Aufruf ihrer Hauptfunktion.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 7 of 22\n\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 8 of 22\n\nDa der Crypter zuerst die ursprüngliche Nutzlast in den zugewiesenen Speicher kopiert, bevor die anderen Schritte\r\nausgeführt werden, kann man einfach den Inhalt des ersten zugewiesenen Speichers ausgeben und die endgültige\r\nNutzlast abrufen. Ein Skript zum statischen Entpacken/Entschleiern von Latrodectus-Payloads mit dem Dave-Crypter finden Sie hier.\r\nDie endgültige Nutzlast ist eine DLL, und ihre DllMain-Funktion wird vom Verschlüsselungscode aufgerufen. Der\r\nnächste Schritt ist die Ausführung der exportierten Funktion \"AnselEnableCheck\", die für die Ausführung der\r\nfinalen Payload verantwortlich ist. \r\nWenn wir uns die endgültige Nutzlast ansehen, stellen wir fest, dass sie mehrere exportierte Funktionen hat,\r\nobwohl es keine Rolle spielt, welche aufgerufen wird, da alle die gleiche RVA haben.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 9 of 22\n\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 10 of 22\n\nLatrodectus-DLL-Analyse\r\nDa die allgemeinen Merkmale der Hauptnutzlast bereits in der Vergangenheit von anderen Forschern beschrieben\r\nwurden, konzentrieren sich die folgenden Abschnitte auf die Updates, die von der neuen Latrodectus-Version\r\nverwendet werden.\r\nZeichenfolgenverschleierung\r\nIm Gegensatz zu den vorherigen Versionen, die eine XOR-Operation zum Entschleiern der Zeichenfolgen\r\nverwendeten, verwendet die aktualisierte Version AES256 im CTR-Modus. Der AES-Schlüssel ist in der\r\nEntschleierungsfunktion selbst fest codiert, und der IV ändert sich für jede Zeichenfolge, die entschlüsselt werden\r\nsoll. Der Schlüssel, der in den analysierten Proben verwendet wird, lautet\r\n\"d623b8ef6226cec3e24c55127de873e7839c776bb1a93b57b25fdbea0db68ea2\".\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 11 of 22\n\nDie Entschleierungsfunktion erhält zwei Parameter. Der erste ist ein Datenblock und der zweite ein\r\nAusgabepuffer. Der Datenblock wird zum Speichern von Informationen verwendet, die zum Entschlüsseln der\r\nZeichenfolge verwendet werden, und hat das folgende Format:\r\nLänge der Zeichenfolge: 2 Bytes\r\nIV: 16 Byte\r\nVerschlüsselte Zeichenfolge: Im ersten Feld angegebene Größe\r\nZu beachten ist, dass nach dem verschlüsselten Zeichenfolgeninhalt manchmal zusätzliche Bytes stehen. Die\r\nfolgende Abbildung ist ein Beispiel für diesen Datenblock:\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 12 of 22\n\nKampagnen-ID\r\nIn der aktuellen Malware-Version verwendet die Funktion zur Generierung von Kampagnen-IDs weiterhin den\r\ngleichen Ansatz, bei dem eine Eingabezeichenfolge mit dem FNV-Algorithmus gehasht wird. Es wurde jedoch ein\r\nneuer Eingabestring \"Wiski\" verwendet, was dazu führte, dass der Hash als Kampagnen-ID 0x24e7ce9e.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 13 of 22\n\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 14 of 22\n\nC2-Kommunikation\r\nFür die erste Kommunikation mit dem C2-Server sammelt Latrodectus viele Informationen vom infizierten\r\nSystem wie den Benutzernamen, die Betriebssystemversion und die MAC-Adresse. Die Informationen werden\r\nnach einem bestimmten Muster formatiert, mit dem RC4-Algorithmus verschlüsselt, mit base64 codiert und an\r\nden C2 gesendet.\r\nDie RC4-Schlüssel, die in den analysierten Proben gefunden wurden, waren\r\n\"2sDbsEUXvhgLOO4Irt8AF6el3jJ0M1MowXyao00Nn6ZUjtjXwb\" und\r\n\"kcyBA7IbADOhw5ztcv09vmF8GYmR38eu7OGdfD7pyRelTPKH1G\". \r\nBei der Datenformatierung können wir die Versionsnummer 1.4 markieren, die gesetzt wird.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 15 of 22\n\nDie Informationen werden im HTTP-Body über eine HTTP POST-Anfrage gesendet. Der Endpunkt, der in den\r\nneuen Varianten verwendet wird, ist \"/test\" anstelle von \"/live\", wie in früheren Versionen beobachtet. Obwohl\r\ndies ein sehr schwacher Indikator ist, könnte die Verwendung dieses speziellen Endpunkts darauf hindeuten, dass\r\nes sich um eine Testversion der Malware handelt.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 16 of 22\n\nBefehle\r\nIn Version 1.4 hat Latrodectus zwei neue Befehle in seine Payload eingeführt: Befehls-ID 22 und 25.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 17 of 22\n\nBefehl 0x16\r\nBei diesem Befehl lädt die Malware einen Shellcode vom angegebenen Server herunter und führt ihn über einen\r\nneuen Thread aus.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 18 of 22\n\nDer Unterschied zwischen diesem Befehl und Befehl 14 besteht darin, dass eine Funktion, die die Base64-\r\nCodierung ausführt, als Parameter an den Shellcode selbst übergeben wird. Die Adresse der base64-Funktion wird\r\nin einer zugeordneten Dateiansicht mit dem Namen \"12345\" gespeichert.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 19 of 22\n\nBefehl 0x19\r\nIn diesem Befehl erhält die Malware einen Dateinamen und einen Remote-Speicherort, von dem die Datei\r\nheruntergeladen werden soll. Der Dateiname wird dann an %AppData% angehängt, die Datei wird\r\nheruntergeladen und ihr Inhalt in den angegebenen Pfad geschrieben.\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 20 of 22\n\nUnter Berücksichtigung dieser Ergänzungen finden Sie im Folgenden eine Tabelle der aktualisierten Befehle, die\r\nvon der Malware unterstützt werden:\r\nBefehls-ID\r\nDescription\r\n2 Sammeln einer Liste von Desktop-Dateinamen\r\n3 Sammeln von Informationen über die laufenden Prozesse\r\n4 Sammeln von Systeminformationen\r\n12 Laden Sie eine reguläre ausführbare Datei herunter und führen Sie sie aus\r\n13 Herunterladen und Ausführen einer DLL über rundll32\r\n14 Laden Sie einen Shellcode herunter und führen Sie ihn aus\r\n15 Selbstaktualisierung\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 21 of 22\n\nBefehls-ID\r\nDescription\r\n17 Beenden Sie sich selbst\r\n18 Laden Sie die IcedID-Nutzlast herunter und führen Sie sie aus\r\n19 Erhöhen Sie die Zeitüberschreitung im Ruhezustand\r\n20 Anforderungszähler zurücksetzen\r\n21 Laden Sie das Stealer-Modul herunter und führen Sie es aus\r\n22\r\nLaden Sie einen Shellcode herunter und führen Sie ihn aus, indem Sie die base64-\r\nCodierungsfunktion als Parameter übergeben\r\n25 Laden Sie eine Datei in das Verzeichnis %AppData% herunter\r\nNetskope-Erkennung\r\nNetskope Threat Protection\r\nGen:Variant.Ulise.493872\r\nTrojaner.Generic.36724146\r\nNetskope Advanced Threat Protection bietet proaktiven Schutz gegen diese Bedrohung.\r\nWin64.Trojan.ShellCoExec\r\nSchlussfolgerungen\r\nLatrodectus hat sich ziemlich schnell weiterentwickelt und seiner Nutzlast neue Funktionen hinzugefügt. Das\r\nVerständnis der Aktualisierungen, die auf die Nutzlast angewendet werden, ermöglicht es Defendern,\r\nautomatisierte Pipelines ordnungsgemäß einzurichten und die Informationen für die weitere Suche nach neuen\r\nVarianten zu verwenden. Netskope Threat Labs wird weiterhin verfolgen, wie sich der Latrodectus entwickelt und\r\nwie viel TTP er hat.\r\nIOCs\r\nAlle IOCs und Skripte, die sich auf diese Malware beziehen, finden Sie in unserem GitHub-Repository.\r\nSource: https://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nhttps://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features\r\nPage 22 of 22",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://www.netskope.com/de/blog/latrodectus-rapid-evolution-continues-with-latest-new-payload-features"
	],
	"report_names": [
		"latrodectus-rapid-evolution-continues-with-latest-new-payload-features"
	],
	"threat_actors": [
		{
			"id": "62585174-b1f8-47b1-9165-19b594160b01",
			"created_at": "2023-01-06T13:46:39.369991Z",
			"updated_at": "2026-04-10T02:00:03.304964Z",
			"deleted_at": null,
			"main_name": "TA578",
			"aliases": [],
			"source_name": "MISPGALAXY:TA578",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "52eb5fb6-706b-49c0-9ba5-43bea03940d0",
			"created_at": "2024-11-01T02:00:52.694476Z",
			"updated_at": "2026-04-10T02:00:05.410572Z",
			"deleted_at": null,
			"main_name": "TA578",
			"aliases": [
				"TA578"
			],
			"source_name": "MITRE:TA578",
			"tools": [
				"Latrodectus",
				"IcedID"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "b4f83fef-38ee-4228-9d27-dde8afece1cb",
			"created_at": "2023-02-15T02:01:49.569611Z",
			"updated_at": "2026-04-10T02:00:03.351659Z",
			"deleted_at": null,
			"main_name": "TA577",
			"aliases": [
				"Hive0118"
			],
			"source_name": "MISPGALAXY:TA577",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "22d450bb-fc7a-42af-9430-08887f0abf9f",
			"created_at": "2024-11-01T02:00:52.560354Z",
			"updated_at": "2026-04-10T02:00:05.276856Z",
			"deleted_at": null,
			"main_name": "TA577",
			"aliases": [
				"TA577"
			],
			"source_name": "MITRE:TA577",
			"tools": [
				"Pikabot",
				"QakBot",
				"Latrodectus"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434751,
	"ts_updated_at": 1775826744,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/a4487237c7e7bdd60f26dcaab4c21fe16ed79925.pdf",
		"text": "https://archive.orkl.eu/a4487237c7e7bdd60f26dcaab4c21fe16ed79925.txt",
		"img": "https://archive.orkl.eu/a4487237c7e7bdd60f26dcaab4c21fe16ed79925.jpg"
	}
}