Zlonamjerni softver WailingCrab

Istraživači Infoseca upozoravaju da se e-poruke s temom dostave i slanja koriste kao sredstvo za distribuciju sofisticiranog programa za učitavanje zlonamjernog softvera pod nazivom WailingCrab. Ovaj malware sastoji se od nekoliko komponenti, uključujući loader, injector, downloader i backdoor. Uspješna komunikacija s Command-and-Control (C2, C&C) poslužiteljima često je potrebna za dohvaćanje sljedeće faze zlonamjernog softvera.

Akteri prijetnji aktivno razvijaju zlonamjerni softver WailingCrab

Istraživači su prvobitno identificirali WailingCrab u kolovozu 2023. nakon što su otkrili njegovu umiješanost u kampanje napada na talijanske organizacije. Ovaj zlonamjerni softver služio je kao kanal za postavljanje trojanca Ursnif (također poznatog kao Gozi). Mozak iza WailingCraba je prijetnja TA544, također prepoznat kao Bamboo Spider i Zeus Panda.

Kontinuirano održavan od strane svojih operatera, zlonamjerni softver pokazuje značajke dizajnirane za prikrivanje, što mu omogućuje da bolje osujeti napore analize. Kako bi poboljšao svoju tajnu prirodu, zlonamjerni softver pokreće C2 komunikaciju putem legitimnih, ali kompromitiranih web stranica.

Nadalje, komponente zlonamjernog softvera pohranjuju se na široko korištenim platformama poput Discorda. Naime, značajna izmjena ponašanja zlonamjernog softvera od sredine 2023. uključuje usvajanje MQTT-a, laganog protokola za razmjenu poruka namijenjenog malim senzorima i mobilnim uređajima, za C2 komunikaciju. Ovaj je protokol relativno rijedak u okruženju prijetnji, sa samo nekoliko slučajeva njegove upotrebe, kao što je ranije primijećeno u slučajevima kao što su Tizi i MQsTTang.

Lanac napada za isporuku zlonamjernog softvera WailingCrab

Sekvenca napada započinje e-poštom koja sadrži PDF privitke koji sadrže URL-ove. Klikom na te URL-ove pokreće se preuzimanje JavaScript datoteke dizajnirane za dohvaćanje i izvršavanje učitavača WailingCrab hostiranog na Discordu.

Uloga učitavača je da pokrene sljedeću fazu, pokretanjem shellcodea koji služi kao injektorski modul. To zauzvrat pokreće izvršavanje programa za preuzimanje koji je odgovoran za postavljanje konačnog stražnjeg vrata. U ranijim iteracijama, ova bi komponenta izravno preuzimala backdoor, hostiran kao privitak na Discord CDN-u.

Najnovija verzija WailingCraba šifrira backdoor komponentu s AES-om. Umjesto preuzimanja stražnjih vrata, dopire do svog C2 poslužitelja kako bi dobio ključ za dešifriranje za dešifriranje stražnjih vrata. Backdoor, djelujući kao jezgra zlonamjernog softvera, uspostavlja postojanost na zaraženom hostu i komunicira s C2 poslužiteljem putem MQTT protokola za primanje dodatnih korisnih podataka.

Štoviše, najnovije varijante backdoor-a napuštaju put preuzimanja temeljen na Discordu u korist korisnog opterećenja temeljenog na shellcodeu izravno od C2 preko MQTT-a. Ovaj prijelaz na korištenje MQTT protokola od strane WailingCraba označava namjerno fokusiranje na poboljšanje skrivenosti i izbjegavanje detekcije. Novije verzije WailingCraba također eliminiraju oslanjanje na Discord za dohvaćanje korisnog tereta, dodatno povećavajući njegove mogućnosti prikrivanja.