بدافزار WailingCrab

محققان Infosec هشدار می‌دهند که ایمیل‌هایی با موضوع تحویل و ارسال به عنوان وسیله‌ای برای توزیع یک بارکننده بدافزار پیچیده به نام WailingCrab استفاده می‌شوند. این بدافزار شامل اجزای مختلفی از جمله لودر، انژکتور، دانلودر و درب پشتی است. ارتباط موفقیت آمیز با سرورهای Command-and-Control (C2, C&C) اغلب برای واکشی مرحله بعدی بدافزار مورد نیاز است.

بازیگران تهدید به طور فعال در حال توسعه بدافزار WailingCrab هستند

محققان ابتدا WailingCrab را در آگوست 2023 پس از کشف مشارکت آن در کمپین های حمله علیه سازمان های ایتالیایی شناسایی کردند. این بدافزار به عنوان مجرای برای استقرار تروجان Ursnif (همچنین به عنوان Gozi شناخته می شود) عمل کرد. مغز متفکر WailingCrab بازیگر تهدید کننده TA544 است که با نام های Bamboo Spider و Zeus Panda نیز شناخته می شود.

این بدافزار که به طور مداوم توسط اپراتورهای خود نگهداری می‌شود، ویژگی‌هایی را نشان می‌دهد که برای مخفی کاری طراحی شده‌اند، و آن را قادر می‌سازد تا تلاش‌های تجزیه و تحلیل را بهتر خنثی کند. بدافزار برای تقویت ماهیت پنهان خود، ارتباطات C2 را از طریق وب سایت های قانونی اما در معرض خطر آغاز می کند.

علاوه بر این، اجزای بدافزار در پلتفرم‌های پرکاربرد مانند Discord ذخیره می‌شوند. نکته قابل توجه، تغییر قابل توجهی در رفتار بدافزار از اواسط سال 2023 شامل پذیرش MQTT، یک پروتکل پیام رسانی سبک است که برای سنسورهای کوچک و دستگاه های تلفن همراه، برای ارتباطات C2 در نظر گرفته شده است. این پروتکل در چشم انداز تهدید نسبتاً غیرمعمول است و تنها چند نمونه از آن استفاده می شود، همانطور که قبلاً در مواردی مانند Tizi و MQsTTang مشاهده شده بود.

زنجیره حمله برای تحویل بدافزار WailingCrab

توالی حمله با ایمیل‌های حاوی پیوست‌های پی‌دی‌اف که دارای URL هستند آغاز می‌شود. کلیک کردن روی این URL ها باعث دانلود یک فایل جاوا اسکریپت می شود که برای واکشی و اجرای لودر WailingCrab میزبانی شده در Discord طراحی شده است.

نقش لودر این است که مرحله بعدی را آغاز کند و یک کد پوسته را راه اندازی کند که به عنوان یک ماژول انژکتور عمل می کند. این، به نوبه خود، اجرای یک دانلود کننده مسئول استقرار درب پشتی نهایی را آغاز می کند. در تکرارهای قبلی، این کامپوننت مستقیماً درب پشتی را که به عنوان یک پیوست در Discord CDN میزبانی شده بود، دانلود می کرد.

جدیدترین نسخه WailingCrab کامپوننت backdoor را با AES رمزگذاری می کند. به جای دانلود Backdoor، به سرور C2 خود می رسد تا یک کلید رمزگشایی برای رمزگشایی درب پشتی به دست آورد. درپشتی که به عنوان هسته بدافزار عمل می کند، پایداری را در میزبان آلوده ایجاد می کند و از طریق پروتکل MQTT با سرور C2 برای دریافت بارهای اضافی ارتباط برقرار می کند.

علاوه بر این، آخرین انواع درپشتی مسیر دانلود مبتنی بر Discord را به نفع بارگذاری مبتنی بر پوسته به طور مستقیم از C2 از طریق MQTT کنار می‌گذارند. این تغییر جهت استفاده از پروتکل MQTT توسط WailingCrab نشان دهنده تمرکز عمدی بر افزایش مخفی کاری و فرار از تشخیص است. نسخه‌های جدید WailingCrab همچنین اتکا به Discord را برای بازیابی محموله حذف می‌کنند و قابلیت‌های مخفیانه آن را بیشتر می‌کنند.