WailingCrab மால்வேர்

டெலிவரி மற்றும் ஷிப்பிங் தீம் கொண்ட மின்னஞ்சல்கள் WailingCrab எனப்படும் அதிநவீன மால்வேர் லோடரை விநியோகிப்பதற்கான வழிமுறையாகப் பயன்படுத்தப்படுவதாக Infosec ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர். இந்த மால்வேர், லோடர், இன்ஜெக்டர், டவுன்லோடர் மற்றும் பின்கதவு உள்ளிட்ட பல கூறுகளைக் கொண்டுள்ளது. மால்வேரின் அடுத்த கட்டத்தைப் பெற, கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகங்களுடனான வெற்றிகரமான தொடர்பு அடிக்கடி தேவைப்படுகிறது.

அச்சுறுத்தும் நடிகர்கள் WailingCrab மால்வேரை தீவிரமாக உருவாக்கி வருகின்றனர்

ஆகஸ்ட் 2023 இல், இத்தாலிய அமைப்புகளுக்கு எதிரான தாக்குதல் பிரச்சாரங்களில் அதன் ஈடுபாட்டைக் கண்டறிந்த பின்னர் ஆராய்ச்சியாளர்கள் ஆரம்பத்தில் WailingCrab ஐ அடையாளம் கண்டனர். இந்த தீம்பொருள் உர்ஸ்னிஃப் ட்ரோஜனை (கோஸி என்றும் அழைக்கப்படுகிறது) பயன்படுத்துவதற்கான ஒரு வழியாகச் செயல்பட்டது. WailingCrab-ன் மூளையாக செயல்பட்டவர் TA544, மூங்கில் ஸ்பைடர் மற்றும் ஜீயஸ் பாண்டா என்றும் அறியப்படுகிறார்.

அதன் ஆபரேட்டர்களால் தொடர்ந்து பராமரிக்கப்படும், மால்வேர் திருட்டுத்தனத்திற்காக வடிவமைக்கப்பட்ட அம்சங்களை வெளிப்படுத்துகிறது, இது பகுப்பாய்வு முயற்சிகளை சிறப்பாக முறியடிக்க உதவுகிறது. அதன் இரகசியத் தன்மையை மேம்படுத்த, மால்வேர் முறையான ஆனால் சமரசம் செய்யப்பட்ட இணையதளங்கள் மூலம் C2 தகவல்தொடர்புகளைத் தொடங்குகிறது.

மேலும், தீம்பொருளின் கூறுகள் டிஸ்கார்ட் போன்ற பரவலாகப் பயன்படுத்தப்படும் தளங்களில் சேமிக்கப்படுகின்றன. குறிப்பிடத்தக்க வகையில், 2023 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து தீம்பொருளின் நடத்தையில் குறிப்பிடத்தக்க மாற்றமானது, சிறிய சென்சார்கள் மற்றும் மொபைல் சாதனங்களுக்கான இலகுரக செய்தியிடல் நெறிமுறையான MQTTயை C2 தகவல்தொடர்புக்காக ஏற்றுக்கொண்டது. இந்த நெறிமுறை அச்சுறுத்தல் நிலப்பரப்பில் ஒப்பீட்டளவில் அசாதாரணமானது, அதன் பயன்பாட்டின் சில நிகழ்வுகள் மட்டுமே, முன்பு Tizi மற்றும் MQsTTang போன்ற நிகழ்வுகளில் காணப்பட்டது.

WailingCrab மால்வேரின் டெலிவரிக்கான தாக்குதல் சங்கிலி

URL களைக் கொண்ட PDF இணைப்புகளைக் கொண்ட மின்னஞ்சல்களுடன் தாக்குதல் வரிசை தொடங்குகிறது. இந்த URLகளைக் கிளிக் செய்வதன் மூலம், Discord இல் ஹோஸ்ட் செய்யப்பட்ட WailingCrab லோடரைப் பெற்று செயல்படுத்த வடிவமைக்கப்பட்ட JavaScript கோப்பின் பதிவிறக்கத்தைத் தூண்டுகிறது.

இன்ஜெக்டர் தொகுதியாக செயல்படும் ஷெல்கோடை துவக்கி, அடுத்த கட்டத்தை துவக்குவதே ஏற்றியின் பங்கு. இது, இறுதிப் பின்கதவை வரிசைப்படுத்துவதற்குப் பொறுப்பான டவுன்லோடரைச் செயல்படுத்துவதைத் தூண்டுகிறது. முந்தைய மறு செய்கைகளில், இந்தக் கூறு டிஸ்கார்ட் CDN இல் இணைப்பாக ஹோஸ்ட் செய்யப்பட்ட பின்கதவை நேரடியாகப் பதிவிறக்கும்.

WailingCrab இன் மிகச் சமீபத்திய பதிப்பு AES உடன் பின்கதவு கூறுகளை குறியாக்குகிறது. பின்கதவைப் பதிவிறக்குவதற்குப் பதிலாக, பின்கதவை மறைகுறியாக்க ஒரு மறைகுறியாக்க விசையைப் பெற அதன் C2 சேவையகத்தை அணுகுகிறது. பின்கதவு, தீம்பொருளின் மையமாக செயல்படுகிறது, பாதிக்கப்பட்ட ஹோஸ்டில் நிலைத்தன்மையை நிறுவுகிறது மற்றும் கூடுதல் பேலோடுகளைப் பெற MQTT நெறிமுறை வழியாக C2 சேவையகத்துடன் தொடர்பு கொள்கிறது.

மேலும், பின்கதவின் சமீபத்திய மாறுபாடுகள், டிஸ்கார்ட்-அடிப்படையிலான பதிவிறக்கப் பாதையை கைவிட்டு, ஷெல்கோட் அடிப்படையிலான பேலோடை நேரடியாக C2 இலிருந்து MQTT மூலம் பயன்படுத்துகிறது. WailingCrab இன் MQTT நெறிமுறையைப் பயன்படுத்துவதற்கான இந்த மாற்றம் திருட்டுத்தனத்தை மேம்படுத்துதல் மற்றும் கண்டறிதலைத் தவிர்ப்பதில் வேண்டுமென்றே கவனம் செலுத்துவதைக் குறிக்கிறது. WailingCrab இன் புதிய பதிப்புகள் பேலோட் மீட்டெடுப்பிற்கான டிஸ்கார்டை நம்பியிருப்பதையும் நீக்குகிறது, மேலும் அதன் திருட்டுத்தனமான திறன்களை மேலும் அதிகரிக்கிறது.