WailingCrab תוכנה זדונית

חוקרי Infosec מזהירים כי אימיילים עם נושא משלוח ומשלוח משמשים כאמצעי להפצת טוען תוכנות זדוניות מתוחכם בשם WailingCrab. תוכנה זדונית זו כוללת מספר רכיבים, כולל מטעין, מזרק, הורדה ודלת אחורית. לעתים קרובות נדרשת תקשורת מוצלחת עם שרתי Command-and-Control (C2, C&C) כדי להביא את השלב הבא של התוכנה הזדונית.

שחקני איומים מפתחים באופן פעיל את התוכנה הזדונית WailingCrab

חוקרים זיהו בתחילה את WailingCrab באוגוסט 2023 לאחר שחשפו את מעורבותו בקמפיינים של תקיפה נגד ארגונים איטלקיים. תוכנה זדונית זו שימשה כצינור לפריסת ה- Ursnif Trojan (הידוע גם בשם Gozi). המוח מאחורי WailingCrab הוא שחקן האיום TA544, המוכר גם כעכביש במבוק וזאוס פנדה.

התוכנה הזדונית מתוחזקת באופן רציף על ידי המפעילים שלה, ומציגה תכונות המיועדות להתגנבות, המאפשרות לה לסכל מאמצי ניתוח טוב יותר. כדי לשפר את אופיו הסמוי, התוכנה הזדונית יוזמת תקשורת C2 דרך אתרים לגיטימיים אך נפגעים.

יתר על כן, רכיבי התוכנה הזדונית מאוחסנים בפלטפורמות בשימוש נרחב כמו Discord. יש לציין, שינוי משמעותי בהתנהגות התוכנה הזדונית מאז אמצע 2023 כולל אימוץ של MQTT, פרוטוקול הודעות קל משקל המיועד לחיישנים קטנים ולהתקנים ניידים, לתקשורת C2. פרוטוקול זה נדיר יחסית בנוף האיומים, עם מקרים בודדים בלבד של השימוש בו, כפי שנצפה בעבר במקרים כמו Tizi ו-MQsTTang.

שרשרת ההתקפה לאספקת התוכנה הזדונית WailingCrab

רצף ההתקפה מתחיל עם הודעות דוא"ל המכילות קבצי PDF המצורפים המכילים כתובות אתרים. לחיצה על כתובות URL אלו מפעילה הורדה של קובץ JavaScript שנועד לאחזר ולהפעיל את טוען WailingCrab המתארח ב-Discord.

תפקידו של המעמיס הוא ליזום את השלב הבא, השקת קוד מעטפת המשמש כמודול מזרק. זה, בתורו, גורם לביצוע של הורדה שאחראי על פריסת הדלת האחורית האולטימטיבית. באיטרציות קודמות, רכיב זה היה מוריד ישירות את הדלת האחורית, המתארח כקובץ מצורף ב-Discord CDN.

הגרסה העדכנית ביותר של WailingCrab מצפינה את רכיב הדלת האחורית עם AES. במקום להוריד את הדלת האחורית, הוא מגיע לשרת C2 שלו כדי לרכוש מפתח פענוח לפענוח הדלת האחורית. הדלת האחורית, הפועלת כליבה של התוכנה הזדונית, מייצרת התמדה על המארח הנגוע ומתקשרת עם שרת C2 באמצעות פרוטוקול MQTT כדי לקבל עומסים נוספים.

יתרה מכך, הגרסאות האחרונות של הדלת האחורית נוטשות את נתיב ההורדה המבוסס על Discord לטובת מטען מבוסס מעטפת ישירות מה-C2 דרך MQTT. המעבר הזה לשימוש בפרוטוקול MQTT של WailingCrab מסמל התמקדות מכוונת בשיפור התגנבות והתחמקות מזיהוי. הגרסאות החדשות יותר של WailingCrab מבטלות גם את ההסתמכות על Discord לאחזור מטען, מה שמגדיל עוד יותר את יכולות החמקניות שלה.