WailingCrab ਮਾਲਵੇਅਰ
Infosec ਖੋਜਕਰਤਾ ਚੇਤਾਵਨੀ ਦੇ ਰਹੇ ਹਨ ਕਿ ਇੱਕ ਡਿਲੀਵਰੀ ਅਤੇ ਸ਼ਿਪਿੰਗ ਥੀਮ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਨੂੰ WailingCrab ਨਾਮਕ ਇੱਕ ਵਧੀਆ ਮਾਲਵੇਅਰ ਲੋਡਰ ਨੂੰ ਵੰਡਣ ਦੇ ਸਾਧਨ ਵਜੋਂ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਸ ਮਾਲਵੇਅਰ ਵਿੱਚ ਲੋਡਰ, ਇੰਜੈਕਟਰ, ਡਾਉਨਲੋਡਰ ਅਤੇ ਬੈਕਡੋਰ ਸਮੇਤ ਕਈ ਭਾਗ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਦੇ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰਾਂ ਨਾਲ ਸਫਲ ਸੰਚਾਰ ਦੀ ਅਕਸਰ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਸਰਗਰਮੀ ਨਾਲ ਵੇਲਿੰਗਕ੍ਰੈਬ ਮਾਲਵੇਅਰ ਦਾ ਵਿਕਾਸ ਕਰ ਰਹੇ ਹਨ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਅਗਸਤ 2023 ਵਿੱਚ ਇਤਾਲਵੀ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਇਸਦੀ ਸ਼ਮੂਲੀਅਤ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰਨ ਤੋਂ ਬਾਅਦ ਵੈਲਿੰਗਕ੍ਰੈਬ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਸ ਮਾਲਵੇਅਰ ਨੇ Ursnif Trojan (Gozi ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇੱਕ ਨਦੀ ਵਜੋਂ ਕੰਮ ਕੀਤਾ। WailingCrab ਦੇ ਪਿੱਛੇ ਮਾਸਟਰਮਾਈਂਡ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ TA544 ਹੈ, ਜਿਸ ਨੂੰ ਬਾਂਸ ਸਪਾਈਡਰ ਅਤੇ ਜ਼ਿਊਸ ਪਾਂਡਾ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਇਸਦੇ ਆਪਰੇਟਰਾਂ ਦੁਆਰਾ ਲਗਾਤਾਰ ਬਣਾਈ ਰੱਖਿਆ, ਮਾਲਵੇਅਰ ਸਟੀਲਥ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਯਤਨਾਂ ਨੂੰ ਬਿਹਤਰ ਤਰੀਕੇ ਨਾਲ ਅਸਫਲ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਦੇ ਗੁਪਤ ਸੁਭਾਅ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਮਾਲਵੇਅਰ ਜਾਇਜ਼ ਪਰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ C2 ਸੰਚਾਰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਦੇ ਹਿੱਸੇ ਡਿਸਕਾਰਡ ਵਰਗੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, 2023 ਦੇ ਮੱਧ ਤੋਂ ਮਾਲਵੇਅਰ ਦੇ ਵਿਵਹਾਰ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੋਧ ਵਿੱਚ C2 ਸੰਚਾਰ ਲਈ MQTT, ਛੋਟੇ ਸੈਂਸਰਾਂ ਅਤੇ ਮੋਬਾਈਲ ਡਿਵਾਈਸਾਂ ਲਈ ਇੱਕ ਹਲਕਾ ਮੈਸੇਜਿੰਗ ਪ੍ਰੋਟੋਕੋਲ ਅਪਣਾਇਆ ਜਾਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਪ੍ਰੋਟੋਕੋਲ ਖ਼ਤਰੇ ਦੇ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਮੁਕਾਬਲਤਨ ਅਸਧਾਰਨ ਹੈ, ਇਸਦੀ ਵਰਤੋਂ ਦੀਆਂ ਸਿਰਫ ਕੁਝ ਉਦਾਹਰਣਾਂ ਦੇ ਨਾਲ, ਜਿਵੇਂ ਕਿ ਪਹਿਲਾਂ Tizi ਅਤੇ MQsTTang ਵਰਗੇ ਮਾਮਲਿਆਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ।
ਵੇਲਿੰਗਕ੍ਰੈਬ ਮਾਲਵੇਅਰ ਦੀ ਡਿਲਿਵਰੀ ਲਈ ਅਟੈਕ ਚੇਨ
ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਉਹਨਾਂ ਈਮੇਲਾਂ ਨਾਲ ਅਰੰਭ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ PDF ਅਟੈਚਮੈਂਟਾਂ ਵਾਲੇ URLs ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। ਇਹਨਾਂ URLs 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਡਿਸਕਾਰਡ 'ਤੇ ਹੋਸਟ ਕੀਤੇ WailingCrab ਲੋਡਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ JavaScript ਫਾਈਲ ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਲੋਡਰ ਦੀ ਭੂਮਿਕਾ ਬਾਅਦ ਦੇ ਪੜਾਅ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨਾ ਹੈ, ਇੱਕ ਸ਼ੈੱਲਕੋਡ ਲਾਂਚ ਕਰਨਾ ਜੋ ਇੱਕ ਇੰਜੈਕਟਰ ਮੋਡੀਊਲ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ, ਬਦਲੇ ਵਿੱਚ, ਅਖੀਰਲੇ ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਇੱਕ ਡਾਊਨਲੋਡਰ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਚਾਲੂ ਕਰਦਾ ਹੈ। ਪਹਿਲਾਂ ਦੇ ਦੁਹਰਾਓ ਵਿੱਚ, ਇਹ ਕੰਪੋਨੈਂਟ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਬੈਕਡੋਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰੇਗਾ, ਡਿਸਕੋਰਡ CDN 'ਤੇ ਇੱਕ ਅਟੈਚਮੈਂਟ ਵਜੋਂ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਹੈ।
WailingCrab ਦਾ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਸੰਸਕਰਣ AES ਨਾਲ ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। ਬੈਕਡੋਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਬਜਾਏ, ਇਹ ਬੈਕਡੋਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਇੱਕ ਡੀਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇਸਦੇ C2 ਸਰਵਰ ਤੱਕ ਪਹੁੰਚਦਾ ਹੈ। ਬੈਕਡੋਰ, ਮਾਲਵੇਅਰ ਦੇ ਕੋਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਸੰਕਰਮਿਤ ਹੋਸਟ 'ਤੇ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ MQTT ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਬੈਕਡੋਰ ਦੇ ਨਵੀਨਤਮ ਰੂਪਾਂ ਨੇ MQTT ਰਾਹੀਂ ਸਿੱਧੇ C2 ਤੋਂ ਸ਼ੈੱਲਕੋਡ-ਅਧਾਰਿਤ ਪੇਲੋਡ ਦੇ ਹੱਕ ਵਿੱਚ ਡਿਸਕਾਰਡ-ਅਧਾਰਿਤ ਡਾਉਨਲੋਡ ਮਾਰਗ ਨੂੰ ਛੱਡ ਦਿੱਤਾ ਹੈ। WailingCrab ਦੁਆਰਾ MQTT ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਇਹ ਤਬਦੀਲੀ ਸਟੀਲਥ ਨੂੰ ਵਧਾਉਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ 'ਤੇ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਫੋਕਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। WailingCrab ਦੇ ਨਵੇਂ ਸੰਸਕਰਣ ਪੇਲੋਡ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਡਿਸਕਾਰਡ 'ਤੇ ਨਿਰਭਰਤਾ ਨੂੰ ਵੀ ਖਤਮ ਕਰਦੇ ਹਨ, ਇਸ ਦੀਆਂ ਸਟੀਲਥ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਹੋਰ ਵਧਾਉਂਦੇ ਹਨ।
