ВаилингЦраб Малваре

Истраживачи Инфосец-а упозоравају да се е-поруке са темом испоруке и испоруке користе као средство за дистрибуцију софистицираног учитавача малвера под називом ВаилингЦраб. Овај злонамерни софтвер се састоји од неколико компоненти, укључујући пуњач, ињектор, програм за преузимање и бацкдоор. Успешна комуникација са серверима за команду и контролу (Ц2, Ц&Ц) често је потребна за преузимање следеће фазе малвера.

Актери претњи активно развијају малвер ВаилингЦраб

Истраживачи су првобитно идентификовали ВаилингЦраб у августу 2023. након што су открили његову умешаност у кампање напада на италијанске организације. Овај злонамерни софтвер је служио као канал за постављање Урсниф тројанца (познатог и као Гози). Мозак иза ВаилингЦраб-а је глумац претњи ТА544, такође познат као Бамбусов паук и Зевс Панда.

Континуирано одржаван од стране својих оператера, малвер има карактеристике дизајниране за прикривеност, што му омогућава да боље осујети напоре анализе. Да би побољшао своју тајну природу, малвер покреће Ц2 комуникацију преко легитимних, али компромитованих веб локација.

Штавише, компоненте злонамерног софтвера се чувају на широко коришћеним платформама као што је Дисцорд. Значајно, значајна модификација понашања малвера од средине 2023. укључује усвајање МКТТ, лаганог протокола за размену порука намењеног малим сензорима и мобилним уређајима, за Ц2 комуникацију. Овај протокол је релативно необичан у окружењу претњи, са само неколико примера његове употребе, као што је раније примећено у случајевима као што су Тизи и МКсТТанг.

Ланац напада за испоруку злонамерног софтвера ВаилингЦраб

Секвенца напада почиње са е-порукама које садрже ПДФ прилоге са УРЛ адресама. Кликом на ове УРЛ адресе покреће се преузимање ЈаваСцрипт датотеке дизајниране да преузме и изврши учитавач ВаилингЦраб хостован на Дисцорд-у.

Улога пуњача је да започне следећу фазу, лансирајући схеллцоде који служи као модул ињектора. Ово, заузврат, покреће извршавање програма за преузимање који је одговоран за примену крајњег бацкдоор-а. У ранијим итерацијама, ова компонента би директно преузимала бацкдоор, хостован као прилог на Дисцорд ЦДН-у.

Најновија верзија ВаилингЦраб шифрује бацкдоор компоненту помоћу АЕС-а. Уместо преузимања бацкдоор-а, он посеже до свог Ц2 сервера да би добио кључ за дешифровање за дешифровање бацкдоор-а. Позадинска врата, која делује као језгро малвера, успоставља постојаност на зараженом хосту и комуницира са Ц2 сервером преко МКТТ протокола да би примила додатне корисне податке.

Штавише, најновије варијанте бацкдоор-а напуштају путању за преузимање засновану на Дисцорд-у у корист корисног оптерећења заснованог на схеллцоде-у директно са Ц2 преко МКТТ-а. Овај прелазак на коришћење МКТТ протокола од стране ВаилингЦраб-а означава намерно фокусирање на повећање прикривености и избегавање откривања. Новије верзије ВаилингЦраб-а такође елиминишу ослањање на Дисцорд за преузимање корисног терета, додатно повећавајући његове могућности прикривености.