Malware WailingCrab

Výzkumníci společnosti Infosec varují, že e-maily s tématem doručování a zasílání jsou využívány jako prostředek k distribuci sofistikovaného zavaděče malwaru zvaného WailingCrab. Tento malware se skládá z několika komponent, včetně zavaděče, injektoru, downloaderu a zadních vrátek. Úspěšná komunikace se servery Command-and-Control (C2, C&C) je často vyžadována k načtení další fáze malwaru.

Aktéři hrozeb aktivně vyvíjejí malware WailingCrab

Výzkumníci původně identifikovali WailingCrab v srpnu 2023 poté, co odhalili jeho zapojení do útočných kampaní proti italským organizacím. Tento malware sloužil jako kanál pro nasazení trojského koně Ursnif (také známého jako Gozi). Hlavním mozkem WailingCrab je herec ohrožení TA544, známý také jako Bamboo Spider a Zeus Panda.

Malware, který je neustále udržován svými operátory, vykazuje funkce navržené pro utajení, což mu umožňuje lépe mařit analytické úsilí. Pro posílení své skryté povahy malware zahajuje komunikaci C2 prostřednictvím legitimních, ale kompromitovaných webových stránek.

Kromě toho jsou součásti malwaru uloženy na široce používaných platformách, jako je Discord. Významná změna chování malwaru od poloviny roku 2023 zahrnuje přijetí MQTT, lehkého protokolu pro zasílání zpráv určeného pro malé senzory a mobilní zařízení, pro komunikaci C2. Tento protokol je v oblasti hrozeb relativně neobvyklý, jen s několika případy jeho použití, jak bylo dříve pozorováno v případech jako Tizi a MQsTTang.

Útočný řetězec pro doručení malwaru WailingCrab

Sekvence útoku začíná e-maily obsahujícími přílohy PDF obsahující adresy URL. Kliknutí na tyto adresy URL spustí stažení souboru JavaScript určeného k načtení a spuštění zavaděče WailingCrab hostovaného na Discordu.

Úlohou nakladače je iniciovat následující fázi spuštěním shell kódu, který slouží jako modul vstřikovače. To zase spustí spuštění downloaderu odpovědného za nasazení ultimátních zadních vrátek. V dřívějších iteracích by tato komponenta přímo stahovala zadní vrátka hostovaná jako příloha na Discord CDN.

Nejnovější verze WailingCrab šifruje komponentu backdoor pomocí AES. Namísto stahování zadních vrátek osloví svůj server C2, aby získal dešifrovací klíč pro dešifrování zadních vrátek. Zadní vrátka, fungující jako jádro malwaru, vytváří perzistenci na infikovaném hostiteli a komunikuje se serverem C2 prostřednictvím protokolu MQTT, aby získal další užitečné zatížení.

Navíc nejnovější varianty zadních vrátek opouštějí cestu stahování založenou na Discordu ve prospěch užitečného zatížení založeného na shell kódu přímo z C2 prostřednictvím MQTT. Tento posun k používání protokolu MQTT společností WailingCrab znamená záměrné zaměření na posílení utajení a vyhýbání se detekci. Novější verze WailingCrab také eliminují spoléhání se na Discord při získávání užitečného zatížení a dále rozšiřují jeho stealth schopnosti.