WailingCrab pahavara

Infoseci teadlased hoiatavad, et kohaletoimetamise ja saatmise teemaga e-kirju kasutatakse keeruka pahavaralaadija WailingCrab levitamiseks. See pahavara koosneb mitmest komponendist, sealhulgas laadijast, injektorist, allalaadijast ja tagauksest. Pahavara järgmise etapi toomiseks on sageli vaja edukat suhtlust Command-and-Control (C2, C&C) serveritega.

Ohutegijad arendavad aktiivselt pahavara WailingCrab

Teadlased tuvastasid WailingCrabi algselt 2023. aasta augustis pärast seda, kui avastasid selle osaluse Itaalia organisatsioonide vastu suunatud rünnakukampaaniates. See pahavara toimis kanalina Ursnifi troojalase (tuntud ka kui Gozi) juurutamiseks. WailingCrabi peamiseks ideeks on ohunäitleja TA544, keda tunnustatakse ka kui Bamboo Spider ja Zeus Panda.

Pahavara, mida operaatorid pidevalt hooldavad, sisaldab varjamiseks loodud funktsioone, mis võimaldavad analüüsimist paremini takistada. Oma varjatud olemuse suurendamiseks algatab pahavara C2 suhtlust seaduslike, kuid ohustatud veebisaitide kaudu.

Lisaks salvestatakse pahavara komponente laialdaselt kasutatavatele platvormidele, nagu Discord. Eelkõige hõlmab pahavara käitumise märkimisväärne muudatus alates 2023. aasta keskpaigast väikeste andurite ja mobiilseadmete jaoks mõeldud C2-suhtluseks mõeldud väikese sõnumsideprotokolli MQTT kasutuselevõttu. See protokoll on ohumaastikul suhteliselt haruldane, seda on kasutatud vaid üksikutel juhtudel, nagu varem täheldati sellistel juhtudel nagu Tizi ja MQsTTang.

Rünnakett WailingCrabi pahavara kohaletoimetamiseks

Rünnaku jada algab meilidest, mis sisaldavad URL-e sisaldavaid PDF-manuseid. Nendel URL-idel klõpsamine käivitab JavaScripti faili allalaadimise, mis on loodud Discordis hostitud WailingCrabi laadija toomiseks ja käivitamiseks.

Laadija roll on käivitada järgmine etapp, käivitades shellkoodi, mis toimib pihustimoodulina. See omakorda käivitab ülima tagaukse juurutamise eest vastutava allalaadija käivitamise. Varasemates iteratsioonides laadis see komponent otse alla tagaukse, mida majutati Discord CDN-i manusena.

WailingCrabi uusim versioon krüpteerib tagaukse komponendi AES-iga. Tagaukse allalaadimise asemel pöördub see oma C2 serveri poole, et hankida tagaukse dekrüpteerimiseks dekrüpteerimisvõti. Pahavara tuumana toimiv tagauks tagab nakatunud hosti püsivuse ja suhtleb C2-serveriga MQTT-protokolli kaudu, et saada täiendavaid kasulikke koormusi.

Veelgi enam, tagaukse uusimad variandid loobuvad Discord-põhisest allalaadimisteest, valides shellkoodipõhise kasuliku koormuse otse C2-st MQTT kaudu. See üleminek MQTT-protokolli kasutamisele WailingCrabi poolt tähendab sihilikku keskendumist varguse suurendamisele ja tuvastamisest kõrvalehoidmisele. WailingCrabi uuemad versioonid välistavad ka Discordi kasutamise kasuliku koormuse otsimisel, suurendades veelgi selle varjamisvõimalusi.