Programari maliciós WailingCrab
Els investigadors de Infosec adverteixen que s'utilitzen correus electrònics amb un tema d'enviament i enviament com a mitjà per distribuir un carregador de programari maliciós sofisticat anomenat WailingCrab. Aquest programari maliciós inclou diversos components, com ara un carregador, un injector, un descarregador i una porta posterior. Sovint es requereix una comunicació correcta amb els servidors Command-and-Control (C2, C&C) per obtenir la fase posterior del programari maliciós.
Els actors de les amenaces estan desenvolupant activament el programari maliciós WailingCrab
Els investigadors van identificar inicialment WailingCrab l'agost de 2023 després de descobrir la seva participació en campanyes d'atac contra organitzacions italianes. Aquest programari maliciós va servir com a conducte per desplegar el troià Ursnif (també conegut com Gozi). El cervell darrere de WailingCrab és l'actor d'amenaces TA544, també reconegut com Bamboo Spider i Zeus Panda.
Mantingut contínuament pels seus operadors, el programari maliciós presenta funcions dissenyades per a la sigil·lació, cosa que li permet frustrar millor els esforços d'anàlisi. Per millorar la seva naturalesa encoberta, el programari maliciós inicia comunicacions C2 a través de llocs web legítims però compromesos.
A més, els components del programari maliciós s'emmagatzemen en plataformes àmpliament utilitzades com Discord. En particular, una modificació significativa del comportament del programari maliciós des de mitjan 2023 implica l'adopció de MQTT, un protocol de missatgeria lleuger destinat a sensors petits i dispositius mòbils, per a la comunicació C2. Aquest protocol és relativament poc comú en el panorama de les amenaces, amb només alguns exemples del seu ús, com s'ha observat anteriorment en casos com Tizi i MQsTTang.
La cadena d'atac per al lliurament del programari maliciós WailingCrab
La seqüència d'atac s'inicia amb correus electrònics que contenen fitxers adjunts PDF que contenen URL. Si feu clic a aquests URL, s'activa la descàrrega d'un fitxer JavaScript dissenyat per obtenir i executar el carregador WailingCrab allotjat a Discord.
El paper del carregador és iniciar l'etapa posterior, llançant un codi d'intèrpret que serveix com a mòdul d'injecció. Això, al seu torn, activa l'execució d'un descarregador responsable de desplegar la porta posterior definitiva. En iteracions anteriors, aquest component baixaria directament la porta posterior, allotjada com a fitxer adjunt al CDN de Discord.
La versió més recent de WailingCrab xifra el component de la porta del darrere amb AES. En lloc de descarregar la porta del darrere, s'adreça al seu servidor C2 per adquirir una clau de desxifrat per desxifrar la porta del darrere. La porta posterior, que actua com a nucli del programari maliciós, estableix la persistència a l'amfitrió infectat i es comunica amb el servidor C2 mitjançant el protocol MQTT per rebre càrregues addicionals.
A més, les últimes variants de la porta del darrere abandonen la ruta de descàrrega basada en Discord a favor d'una càrrega útil basada en shellcode directament des del C2 a través de MQTT. Aquest canvi a l'ús del protocol MQTT de WailingCrab significa un enfocament deliberat a millorar el sigil i evadir la detecció. Les versions més noves de WailingCrab també eliminen la dependència de Discord per a la recuperació de la càrrega útil, augmentant encara més les seves capacitats de sigil.
