Malware WailingCrab

I ricercatori di Infosec avvertono che le e-mail con temi di consegna e spedizione vengono utilizzate come mezzo per distribuire un sofisticato caricatore di malware chiamato WailingCrab. Questo malware comprende diversi componenti, tra cui un caricatore, un iniettore, un downloader e una backdoor. Per recuperare la fase successiva del malware è spesso necessaria una comunicazione efficace con i server Command-and-Control (C2, C&C).

Gli autori delle minacce stanno sviluppando attivamente il malware WailingCrab

I ricercatori hanno inizialmente identificato WailingCrab nell'agosto 2023 dopo aver scoperto il suo coinvolgimento in campagne di attacco contro organizzazioni italiane. Questo malware fungeva da canale per la distribuzione del trojan Ursnif (noto anche come Gozi). La mente dietro WailingCrab è l'attore pericoloso TA544, riconosciuto anche come Bamboo Spider e Zeus Panda.

Mantenuto continuamente dai suoi operatori, il malware presenta funzionalità progettate per la furtività, che gli consentono di contrastare meglio gli sforzi di analisi. Per migliorare la sua natura segreta, il malware avvia comunicazioni C2 attraverso siti Web legittimi ma compromessi.

Inoltre, i componenti del malware vengono archiviati su piattaforme ampiamente utilizzate come Discord. In particolare, una modifica significativa al comportamento del malware a partire dalla metà del 2023 prevede l’adozione di MQTT, un protocollo di messaggistica leggero destinato a piccoli sensori e dispositivi mobili, per la comunicazione C2. Questo protocollo è relativamente raro nel panorama delle minacce, con solo pochi casi di utilizzo, come osservato in precedenza in casi come Tizi e MQsTTang.

La catena di attacco per la distribuzione del malware WailingCrab

La sequenza di attacco inizia con e-mail contenenti allegati PDF che contengono URL. Facendo clic su questi URL si attiva il download di un file JavaScript progettato per recuperare ed eseguire il caricatore WailingCrab ospitato su Discord.

Il ruolo del caricatore è quello di avviare la fase successiva, lanciando uno shellcode che funge da modulo iniettore. Questo, a sua volta, innesca l'esecuzione di un downloader responsabile dell'implementazione della backdoor definitiva. Nelle iterazioni precedenti, questo componente scaricava direttamente la backdoor, ospitata come allegato sul CDN Discord.

La versione più recente di WailingCrab crittografa il componente backdoor con AES. Invece di scaricare la backdoor, si rivolge al suo server C2 per acquisire una chiave di decrittazione per decrittografare la backdoor. La backdoor, fungendo da nucleo del malware, stabilisce la persistenza sull'host infetto e comunica con il server C2 tramite il protocollo MQTT per ricevere payload aggiuntivi.

Inoltre, le ultime varianti della backdoor abbandonano il percorso di download basato su Discord a favore di un payload basato su shellcode direttamente dal C2 tramite MQTT. Questo passaggio all’utilizzo del protocollo MQTT da parte di WailingCrab indica un’attenzione deliberata al miglioramento della furtività e all’elusione del rilevamento. Le versioni più recenti di WailingCrab eliminano anche la dipendenza da Discord per il recupero del carico utile, aumentando ulteriormente le sue capacità invisibili.