WailingCrab మాల్వేర్

వైలింగ్‌క్రాబ్ అనే అధునాతన మాల్వేర్ లోడర్‌ను పంపిణీ చేయడానికి డెలివరీ మరియు షిప్పింగ్ థీమ్‌తో ఇమెయిల్‌లు ఉపయోగించబడుతున్నాయని ఇన్ఫోసెక్ పరిశోధకులు హెచ్చరిస్తున్నారు. ఈ మాల్వేర్ లోడర్, ఇంజెక్టర్, డౌన్‌లోడ్ మరియు బ్యాక్‌డోర్‌తో సహా అనేక భాగాలను కలిగి ఉంటుంది. మాల్వేర్ యొక్క తదుపరి దశను పొందేందుకు కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌లతో విజయవంతమైన కమ్యూనికేషన్ తరచుగా అవసరం.

థ్రెట్ యాక్టర్స్ WailingCrab మాల్వేర్‌ను చురుకుగా అభివృద్ధి చేస్తున్నారు

పరిశోధకులు మొదట్లో వైలింగ్‌క్రాబ్‌ను ఆగస్టు 2023లో గుర్తించారు, ఇటాలియన్ సంస్థలకు వ్యతిరేకంగా దాడి ప్రచారంలో దాని ప్రమేయాన్ని కనుగొన్న తర్వాత. ఈ మాల్వేర్ ఉర్స్నిఫ్ ట్రోజన్ (గోజీ అని కూడా పిలుస్తారు)ని అమలు చేయడానికి ఒక వాహకంగా పనిచేసింది. వైలింగ్‌క్రాబ్ వెనుక ఉన్న సూత్రధారి బెదిరింపు నటుడు TA544, ఇది వెదురు స్పైడర్ మరియు జ్యూస్ పాండాగా కూడా గుర్తించబడింది.

దాని ఆపరేటర్లచే నిరంతరం నిర్వహించబడుతున్న, మాల్వేర్ స్టెల్త్ కోసం రూపొందించబడిన లక్షణాలను ప్రదర్శిస్తుంది, ఇది విశ్లేషణ ప్రయత్నాలను మెరుగ్గా అడ్డుకోవడానికి వీలు కల్పిస్తుంది. దాని రహస్య స్వభావాన్ని మెరుగుపరచడానికి, మాల్వేర్ చట్టబద్ధమైన కానీ రాజీపడిన వెబ్‌సైట్‌ల ద్వారా C2 కమ్యూనికేషన్‌లను ప్రారంభిస్తుంది.

ఇంకా, మాల్వేర్ యొక్క భాగాలు డిస్కార్డ్ వంటి విస్తృతంగా ఉపయోగించే ప్లాట్‌ఫారమ్‌లలో నిల్వ చేయబడతాయి. ముఖ్యంగా, 2023 మధ్యకాలం నుండి మాల్వేర్ ప్రవర్తనలో గణనీయమైన మార్పు, C2 కమ్యూనికేషన్ కోసం చిన్న సెన్సార్‌లు మరియు మొబైల్ పరికరాల కోసం ఉద్దేశించిన తేలికపాటి మెసేజింగ్ ప్రోటోకాల్ అయిన MQTTని స్వీకరించడం. ఈ ప్రోటోకాల్ థ్రెట్ ల్యాండ్‌స్కేప్‌లో సాపేక్షంగా అసాధారణమైనది, దీని ఉపయోగం యొక్క కొన్ని సందర్భాలు మాత్రమే ఉన్నాయి, గతంలో Tizi మరియు MQsTTang వంటి సందర్భాల్లో గమనించినట్లు.

వైలింగ్‌క్రాబ్ మాల్వేర్ డెలివరీ కోసం అటాక్ చైన్

దాడి క్రమం URLలను కలిగి ఉన్న PDF జోడింపులను కలిగి ఉన్న ఇమెయిల్‌లతో ప్రారంభమవుతుంది. ఈ URLలను క్లిక్ చేయడం వలన డిస్కార్డ్‌లో హోస్ట్ చేయబడిన WailingCrab లోడర్‌ని పొందడం మరియు అమలు చేయడం కోసం రూపొందించబడిన JavaScript ఫైల్ డౌన్‌లోడ్‌ను ట్రిగ్గర్ చేస్తుంది.

ఇంజెక్టర్ మాడ్యూల్‌గా పనిచేసే షెల్‌కోడ్‌ను ప్రారంభించడం, తదుపరి దశను ప్రారంభించడం లోడర్ పాత్ర. ఇది, అంతిమ బ్యాక్‌డోర్‌ను అమలు చేయడానికి బాధ్యత వహించే డౌన్‌లోడ్‌ను అమలు చేయడానికి ట్రిగ్గర్ చేస్తుంది. మునుపటి పునరావృతాలలో, డిస్కార్డ్ CDNలో అటాచ్‌మెంట్‌గా హోస్ట్ చేయబడిన బ్యాక్‌డోర్‌ను ఈ భాగం నేరుగా డౌన్‌లోడ్ చేస్తుంది.

WailingCrab యొక్క అత్యంత ఇటీవలి సంస్కరణ AESతో బ్యాక్‌డోర్ కాంపోనెంట్‌ను గుప్తీకరిస్తుంది. బ్యాక్‌డోర్‌ను డౌన్‌లోడ్ చేయడానికి బదులుగా, బ్యాక్‌డోర్‌ను డీక్రిప్ట్ చేయడానికి డీక్రిప్షన్ కీని పొందేందుకు ఇది దాని C2 సర్వర్‌కు చేరుకుంటుంది. బ్యాక్‌డోర్, మాల్వేర్ యొక్క ప్రధాన అంశంగా పనిచేస్తుంది, సోకిన హోస్ట్‌పై పట్టుదలను ఏర్పరుస్తుంది మరియు అదనపు పేలోడ్‌లను స్వీకరించడానికి MQTT ప్రోటోకాల్ ద్వారా C2 సర్వర్‌తో కమ్యూనికేట్ చేస్తుంది.

అంతేకాకుండా, బ్యాక్‌డోర్ యొక్క తాజా వైవిధ్యాలు డిస్కార్డ్-ఆధారిత డౌన్‌లోడ్ మార్గాన్ని వదిలివేసి, షెల్‌కోడ్-ఆధారిత పేలోడ్‌కు అనుకూలంగా C2 నుండి నేరుగా MQTT ద్వారా. వైలింగ్‌క్రాబ్ ద్వారా MQTT ప్రోటోకాల్‌ని ఉపయోగించడం కోసం ఈ మార్పు దొంగతనాన్ని మెరుగుపరచడం మరియు గుర్తించకుండా తప్పించుకోవడంపై ఉద్దేశపూర్వక దృష్టిని సూచిస్తుంది. WailingCrab యొక్క కొత్త వెర్షన్లు పేలోడ్ రిట్రీవల్ కోసం డిస్కార్డ్‌పై ఆధారపడటాన్ని కూడా తొలగిస్తాయి, దాని స్టెల్త్ సామర్థ్యాలను మరింత పెంచుతాయి.