WailingCrab Malware

Infosec-forskare varnar för att e-postmeddelanden med ett leverans- och leveranstema används som ett sätt att distribuera en sofistikerad skadlig programvara som heter WailingCrab. Den här skadliga programvaran består av flera komponenter, inklusive en laddare, injektor, nedladdare och bakdörr. Framgångsrik kommunikation med Command-and-Control (C2, C&C)-servrar krävs ofta för att hämta det efterföljande skedet av skadlig programvara.

Hotaktörer utvecklar aktivt WailingCrab Malware

Forskare identifierade ursprungligen WailingCrab i augusti 2023 efter att ha upptäckt dess inblandning i attackkampanjer mot italienska organisationer. Denna skadliga programvara fungerade som en kanal för att distribuera Ursnif Trojan (även känd som Gozi). Hjärnan bakom WailingCrab är hotskådespelaren TA544, även känd som Bamboo Spider och Zeus Panda.

Den skadliga programvaran, som kontinuerligt underhålls av sina operatörer, uppvisar funktioner som är designade för smyg, vilket gör att den kan omintetgöra analysarbetet bättre. För att förbättra sin hemliga natur initierar skadlig programvara C2-kommunikation via legitima men komprometterade webbplatser.

Dessutom lagras komponenter i skadlig programvara på ofta använda plattformar som Discord. Särskilt en betydande ändring av skadlig programvaras beteende sedan mitten av 2023 involverar antagandet av MQTT, ett lättviktigt meddelandeprotokoll avsett för små sensorer och mobila enheter, för C2-kommunikation. Detta protokoll är relativt ovanligt i hotbilden, med endast ett fåtal instanser av dess användning, som tidigare observerats i fall som Tizi och MQsTTang.

Attackkedjan för leverans av WailingCrab Malware

Attacksekvensen initieras med e-postmeddelanden som innehåller PDF-bilagor som innehåller webbadresser. Om du klickar på dessa webbadresser utlöses nedladdningen av en JavaScript-fil utformad för att hämta och köra WailingCrab-laddaren som finns på Discord.

Lastarens roll är att initiera det efterföljande steget och lansera en skalkod som fungerar som en injektormodul. Detta utlöser i sin tur exekveringen av en nedladdare som ansvarar för att distribuera den ultimata bakdörren. I tidigare iterationer skulle den här komponenten direkt ladda ner bakdörren, värd som en bilaga på Discord CDN.

Den senaste versionen av WailingCrab krypterar bakdörrskomponenten med AES. Istället för att ladda ner bakdörren, når den ut till sin C2-server för att skaffa en dekrypteringsnyckel för att dekryptera bakdörren. Bakdörren, som fungerar som skadlig programvaras kärna, etablerar uthållighet på den infekterade värden och kommunicerar med C2-servern via MQTT-protokollet för att ta emot ytterligare nyttolaster.

Dessutom överger de senaste varianterna av bakdörren den Discord-baserade nedladdningsvägen till förmån för en shellcode-baserad nyttolast direkt från C2 genom MQTT. Denna övergång till att använda MQTT-protokollet av WailingCrab betyder ett medvetet fokus på att förbättra smyg och undvika upptäckt. De nyare versionerna av WailingCrab eliminerar också beroendet av Discord för hämtning av nyttolast, vilket ytterligare förstärker dess smygkapacitet.