WailingCrab Malware

Os pesquisadores de Infosec estão alertando que e-mails com tema de entrega e envio estão sendo empregados como meio de distribuir um sofisticado carregador de malware chamado WailingCrab. Este malware compreende vários componentes, incluindo carregador, injetor, downloader e backdoor. A comunicação bem-sucedida com servidores de comando e controle (C2, C&C) é frequentemente necessária para buscar o estágio subsequente do malware.

Os Autores de Ameaças estão Desenvolvendo Ativamente o WailingCrab Malware 

Os pesquisadores identificaram inicialmente o WailingCrab em agosto de 2023, após descobrirem seu envolvimento em campanhas de ataque contra organizações italianas. Esse malware serviu como canal para a implantação do Trojan Ursnif (também conhecido como Gozi). O cérebro por trás do WailingCrab é o ator ameaçador TA544, também conhecido como Bamboo Spider e Zeus Panda.

Mantido continuamente por seus operadores, o malware exibe recursos projetados para serem furtivos, permitindo-lhe frustrar melhor os esforços de análise. Para melhorar a sua natureza secreta, o malware inicia comunicações C2 através de sites legítimos, mas comprometidos.

Além disso, os componentes do malware são armazenados em plataformas amplamente utilizadas como o Discord. Notavelmente, uma modificação significativa no comportamento do malware desde meados de 2023 envolve a adoção do MQTT, um protocolo de mensagens leve destinado a pequenos sensores e dispositivos móveis, para comunicação C2. Este protocolo é relativamente incomum no cenário de ameaças, com apenas alguns casos de seu uso, como observado anteriormente em casos como Tizi e MQsTtang.

A Cadeia de Ataque para a Entrega do WailingCrab

A sequência de ataque começa com e-mails contendo anexos em PDF contendo URLs. Clicar nesses URLs aciona o download de um arquivo JavaScript projetado para buscar e executar o carregador WailingCrab hospedado no Discord.

A função do carregador é iniciar a etapa subsequente, lançando um shellcode que serve como módulo injetor. Isso, por sua vez, aciona a execução de um downloader responsável por implantar o backdoor definitivo. Nas iterações anteriores, este componente baixava diretamente o backdoor, hospedado como um anexo no Discord CDN.

A versão mais recente do WailingCrab criptografa o componente backdoor com AES. Em vez de baixar o backdoor, ele acessa seu servidor C2 para adquirir uma chave de descriptografia para descriptografar o backdoor. O backdoor, atuando como núcleo do malware, estabelece persistência no host infectado e se comunica com o servidor C2 por meio do protocolo MQTT para receber cargas adicionais.

Além disso, as variantes mais recentes do backdoor abandonam o caminho de download baseado no Discord em favor de uma carga útil baseada em shellcode diretamente do C2 por meio do MQTT. Essa mudança para o uso do protocolo MQTT do WailingCrab significa um foco deliberado em melhorar a furtividade e evitar a detecção. As versões mais recentes do WailingCrab também eliminam a dependência do Discord para recuperação de carga útil, aumentando ainda mais suas capacidades furtivas.