Malware WailingCrab

Studiuesit e Infosec po paralajmërojnë se emailet me temën e dorëzimit dhe transportit po përdoren si një mjet për të shpërndarë një ngarkues të sofistikuar malware të quajtur WailingCrab. Ky malware përbëhet nga disa komponentë, duke përfshirë një ngarkues, injektor, shkarkues dhe derë të pasme. Komunikimi i suksesshëm me serverët Command-and-Control (C2, C&C) kërkohet shpesh për të marrë fazën pasuese të malware.

Aktorët e kërcënimit po zhvillojnë në mënyrë aktive malware-in WailingCrab

Studiuesit fillimisht identifikuan WailingCrab në gusht 2023 pasi zbuluan përfshirjen e tij në fushatat sulmuese kundër organizatave italiane. Ky malware shërbeu si një kanal për vendosjen e Trojanit Ursnif (i njohur gjithashtu si Gozi). Organizatori i WailingCrab është aktori i kërcënimit TA544, i njohur gjithashtu si Bamboo Spider dhe Zeus Panda.

I mirëmbajtur vazhdimisht nga operatorët e tij, malware shfaq veçori të dizajnuara për fshehtësi, duke i mundësuar atij të pengojë më mirë përpjekjet e analizës. Për të përmirësuar natyrën e tij të fshehtë, malware fillon komunikimet C2 përmes faqeve të internetit të ligjshme, por të komprometuara.

Për më tepër, përbërësit e malware ruhen në platforma të përdorura gjerësisht si Discord. Veçanërisht, një modifikim i rëndësishëm në sjelljen e malware që nga mesi i vitit 2023 përfshin miratimin e MQTT, një protokoll i lehtë mesazhesh i destinuar për sensorë të vegjël dhe pajisje celulare, për komunikimin C2. Ky protokoll është relativisht i pazakontë në peizazhin e kërcënimit, me vetëm disa raste të përdorimit të tij, siç është vërejtur më parë në raste si Tizi dhe MQsTTang.

Zinxhiri i sulmit për dorëzimin e malware WailingCrab

Sekuenca e sulmit fillon me email që përmbajnë bashkëngjitje PDF që përmbajnë URL. Klikimi i këtyre URL-ve shkakton shkarkimin e një skedari JavaScript të krijuar për të marrë dhe ekzekutuar ngarkuesin WailingCrab të pritur në Discord.

Roli i ngarkuesit është të fillojë fazën pasuese, duke lëshuar një kod shell që shërben si një modul injektori. Kjo, nga ana tjetër, shkakton ekzekutimin e një shkarkuesi përgjegjës për vendosjen e derës së pasme përfundimtare. Në përsëritjet e mëparshme, ky komponent do të shkarkonte drejtpërdrejt backdoor-in, të vendosur si një bashkëngjitje në Discord CDN.

Versioni më i fundit i WailingCrab kodon komponentin e pasme me AES. Në vend që të shkarkojë derën e pasme, ai drejtohet te serveri i tij C2 për të marrë një çelës deshifrimi për deshifrimin e derës së pasme. Backdoor, duke vepruar si thelbi i malware, vendos qëndrueshmërinë në hostin e infektuar dhe komunikon me serverin C2 nëpërmjet protokollit MQTT për të marrë ngarkesa shtesë.

Për më tepër, variantet më të fundit të derës së pasme braktisin shtegun e shkarkimit të bazuar në Discord në favor të një ngarkese të bazuar në kodin shell direkt nga C2 përmes MQTT. Ky ndryshim në përdorimin e protokollit MQTT nga WailingCrab nënkupton një fokus të qëllimshëm në rritjen e fshehtësisë dhe shmangies së zbulimit. Versionet më të reja të WailingCrab eliminojnë gjithashtu mbështetjen në Discord për rikthimin e ngarkesës, duke shtuar më tej aftësitë e tij të fshehta.