WailingCrab-malware

Onderzoekers van Infosec waarschuwen dat e-mails met een bezorg- en verzendthema worden gebruikt als middel om een geavanceerde malware-lader te verspreiden, genaamd WailingCrab. Deze malware bestaat uit verschillende componenten, waaronder een lader, injector, downloader en backdoor. Succesvolle communicatie met Command-and-Control (C2, C&C)-servers is vaak vereist om de volgende fase van de malware op te halen.

Bedreigingsactoren ontwikkelen actief de WailingCrab-malware

Onderzoekers identificeerden WailingCrab aanvankelijk in augustus 2023 nadat ze hun betrokkenheid bij aanvalscampagnes tegen Italiaanse organisaties hadden ontdekt. Deze malware diende als kanaal voor de inzet van de Ursnif Trojan (ook bekend als Gozi). Het brein achter WailingCrab is de bedreigingsacteur TA544, ook bekend als Bamboo Spider en Zeus Panda.

De malware wordt voortdurend onderhouden door de operators en vertoont functies die zijn ontworpen voor stealth, waardoor analyse-inspanningen beter kunnen worden tegengewerkt. Om het geheime karakter ervan te versterken, initieert de malware C2-communicatie via legitieme maar gecompromitteerde websites.

Bovendien worden componenten van de malware opgeslagen op veelgebruikte platforms zoals Discord. Een belangrijke wijziging in het gedrag van de malware sinds medio 2023 betreft met name de adoptie van MQTT, een lichtgewicht berichtenprotocol bedoeld voor kleine sensoren en mobiele apparaten, voor C2-communicatie. Dit protocol is relatief ongebruikelijk in het dreigingslandschap, met slechts enkele gevallen waarin het wordt gebruikt, zoals eerder is waargenomen in gevallen als Tizi en MQsTTang.

De aanvalsketen voor de levering van de WailingCrab-malware

De aanvalsreeks begint met e-mails met pdf-bijlagen met URL's. Als u op deze URL's klikt, wordt een JavaScript-bestand gedownload dat is ontworpen om de WailingCrab-lader die op Discord wordt gehost, op te halen en uit te voeren.

De rol van de lader is om de volgende fase te initiëren, waarbij een shellcode wordt gelanceerd die als injectormodule dient. Dit veroorzaakt op zijn beurt de uitvoering van een downloader die verantwoordelijk is voor het inzetten van de ultieme achterdeur. In eerdere iteraties downloadde dit onderdeel rechtstreeks de achterdeur, gehost als bijlage op de Discord CDN.

De meest recente versie van WailingCrab codeert de achterdeurcomponent met AES. In plaats van de achterdeur te downloaden, neemt het contact op met de C2-server om een decoderingssleutel te verkrijgen voor het decoderen van de achterdeur. De achterdeur, die fungeert als de kern van de malware, zorgt voor persistentie op de geïnfecteerde host en communiceert met de C2-server via het MQTT-protocol om extra payloads te ontvangen.

Bovendien verlaten de nieuwste varianten van de achterdeur het op Discord gebaseerde downloadpad ten gunste van een op shellcode gebaseerde payload rechtstreeks van de C2 via MQTT. Deze verschuiving naar het gebruik van het MQTT-protocol door WailingCrab betekent een bewuste focus op het verbeteren van stealth en het ontwijken van detectie. De nieuwere versies van WailingCrab elimineren ook de afhankelijkheid van Discord voor het ophalen van de lading, waardoor de stealth-mogelijkheden verder worden vergroot.