WailingCrab Malware

Infosec-forskere advarer om at e-poster med et leverings- og forsendelsestema blir brukt som et middel til å distribuere en sofistikert malware-laster kalt WailingCrab. Denne skadelige programvaren består av flere komponenter, inkludert en laster, injektor, nedlaster og bakdør. Vellykket kommunikasjon med Command-and-Control (C2, C&C)-servere er ofte nødvendig for å hente det påfølgende stadiet av skadelig programvare.

Trusselaktører utvikler aktivt WailingCrab Malware

Forskere identifiserte opprinnelig WailingCrab i august 2023 etter å ha avdekket involveringen i angrepskampanjer mot italienske organisasjoner. Denne skadelige programvaren fungerte som en kanal for å distribuere Ursnif Trojan (også kjent som Gozi). Hjernen bak WailingCrab er trusselskuespilleren TA544, også anerkjent som Bamboo Spider og Zeus Panda.

Kontinuerlig vedlikeholdt av operatørene, viser skadelig programvare funksjoner designet for stealth, som gjør det mulig å hindre analysearbeid bedre. For å forbedre sin skjulte natur, initierer skadelig programvare C2-kommunikasjon gjennom legitime, men kompromitterte nettsteder.

Videre lagres komponenter av skadelig programvare på mye brukte plattformer som Discord. Spesielt innebærer en betydelig modifikasjon av skadevarens oppførsel siden midten av 2023 bruken av MQTT, en lett meldingsprotokoll beregnet for små sensorer og mobile enheter, for C2-kommunikasjon. Denne protokollen er relativt uvanlig i trussellandskapet, med bare noen få tilfeller av bruken, som tidligere observert i tilfeller som Tizi og MQsTTang.

Angrepskjeden for levering av WailingCrab Malware

Angrepssekvensen starter med e-poster som inneholder PDF-vedlegg som inneholder URL-er. Ved å klikke på disse URL-ene utløses nedlastingen av en JavaScript-fil designet for å hente og kjøre WailingCrab-lasteren som ligger på Discord.

Lasterens rolle er å starte det påfølgende stadiet, og lansere en shellcode som fungerer som en injektormodul. Dette utløser i sin tur kjøringen av en nedlaster som er ansvarlig for å distribuere den ultimate bakdøren. I tidligere iterasjoner ville denne komponenten direkte laste ned bakdøren, vert som et vedlegg på Discord CDN.

Den nyeste versjonen av WailingCrab krypterer bakdørskomponenten med AES. I stedet for å laste ned bakdøren, når den ut til C2-serveren sin for å anskaffe en dekrypteringsnøkkel for å dekryptere bakdøren. Bakdøren, som fungerer som skadevarens kjerne, etablerer utholdenhet på den infiserte verten og kommuniserer med C2-serveren via MQTT-protokollen for å motta ytterligere nyttelast.

Dessuten forlater de nyeste variantene av bakdøren den Discord-baserte nedlastingsbanen til fordel for en shellcode-basert nyttelast direkte fra C2 gjennom MQTT. Dette skiftet til å bruke MQTT-protokollen av WailingCrab betyr et bevisst fokus på å forbedre stealth og unndra deteksjon. De nyere versjonene av WailingCrab eliminerer også avhengigheten av Discord for henting av nyttelast, noe som øker stealth-mulighetene ytterligere.