Malvér WailingCrab

Výskumníci spoločnosti Infosec varujú, že e-maily s témou doručenia a prepravy sa používajú ako prostriedok na distribúciu sofistikovaného zavádzača škodlivého softvéru s názvom WailingCrab. Tento malvér pozostáva z niekoľkých komponentov vrátane zavádzača, injektora, sťahovača a zadných vrátok. Na získanie ďalšej fázy malvéru je často potrebná úspešná komunikácia so servermi Command-and-Control (C2, C&C).

Aktéri hrozieb aktívne vyvíjajú malvér WailingCrab

Výskumníci pôvodne identifikovali WailingCrab v auguste 2023 po tom, čo odhalili jeho účasť na útočných kampaniach proti talianskym organizáciám. Tento malvér slúžil ako kanál pre nasadenie Ursnif Trojan (tiež známy ako Gozi). Hlavný mozog WailingCrab je herec hrozieb TA544, známy aj ako Bamboo Spider a Zeus Panda.

Malvér, ktorý jeho prevádzkovatelia nepretržite udržiavajú, vykazuje funkcie navrhnuté pre utajenie, čo mu umožňuje lepšie zmariť úsilie o analýzu. Na zlepšenie svojej skrytej povahy iniciuje malvér komunikáciu C2 prostredníctvom legitímnych, ale kompromitovaných webových stránok.

Okrem toho sú komponenty škodlivého softvéru uložené na široko používaných platformách, ako je Discord. Významná zmena v správaní malvéru od polovice roku 2023 zahŕňa prijatie MQTT, ľahkého protokolu na odosielanie správ určeného pre malé senzory a mobilné zariadenia na komunikáciu C2. Tento protokol je v oblasti hrozieb relatívne nezvyčajný, len s niekoľkými prípadmi jeho použitia, ako bolo predtým pozorované v prípadoch ako Tizi a MQsTTang.

Útočný reťazec na doručenie malvéru WailingCrab

Sekvencia útokov sa začína e-mailami obsahujúcimi prílohy PDF s adresami URL. Kliknutím na tieto adresy URL sa spustí sťahovanie súboru JavaScript určeného na načítanie a spustenie zavádzača WailingCrab hosteného na Discorde.

Úlohou nakladača je spustiť nasledujúcu fázu spustením shell kódu, ktorý slúži ako modul vstrekovača. To zase spustí spustenie sťahovača zodpovedného za nasadenie konečných zadných vrátok. V skorších iteráciách by tento komponent priamo stiahol zadné dvierka hostené ako príloha na Discord CDN.

Najnovšia verzia WailingCrab šifruje komponent backdoor pomocou AES. Namiesto stiahnutia zadného vrátka sa dostane na svoj server C2, aby získal dešifrovací kľúč na dešifrovanie zadného vrátka. Zadné vrátka, ktoré fungujú ako jadro malvéru, zaisťujú pretrvávanie na infikovanom hostiteľovi a komunikujú so serverom C2 prostredníctvom protokolu MQTT, aby získali ďalšie užitočné zaťaženie.

Okrem toho najnovšie varianty zadných vrátok opúšťajú cestu sťahovania založenú na Discord v prospech užitočného zaťaženia založeného na shell kódoch priamo z C2 cez MQTT. Tento posun k používaniu protokolu MQTT spoločnosťou WailingCrab znamená zámerné zameranie na zlepšenie utajenia a vyhýbanie sa detekcii. Novšie verzie WailingCrab tiež eliminujú spoliehanie sa na Discord pri získavaní užitočného zaťaženia, čím sa ďalej rozširujú jeho možnosti utajenia.