Шкідлива програма WailingCrab

Дослідники Infosec попереджають, що електронні листи з темою доставки та доставки використовуються як засіб розповсюдження складного завантажувача шкідливих програм під назвою WailingCrab. Це зловмисне програмне забезпечення складається з кількох компонентів, включаючи завантажувач, інжектор, завантажувач і бекдор. Успішний зв’язок із серверами командування та керування (C2, C&C) часто потрібен для отримання наступної стадії зловмисного програмного забезпечення.

Зловмисники активно розробляють зловмисне програмне забезпечення WailingCrab

Дослідники вперше ідентифікували WailingCrab у серпні 2023 року після виявлення його участі в кампаніях нападів на італійські організації. Ця шкідлива програма служила каналом для розгортання трояна Ursnif (також відомого як Gozi). Ідеєм WailingCrab є загрозливий актор TA544, також відомий як Bamboo Spider і Zeus Panda.

Зловмисне програмне забезпечення, яке постійно підтримується операторами, демонструє функції, розроблені для прихованого виявлення, що дозволяє йому краще перешкоджати спробам аналізу. Щоб посилити свою приховану природу, зловмисне програмне забезпечення ініціює зв’язок C2 через законні, але скомпрометовані веб-сайти.

Крім того, компоненти зловмисного програмного забезпечення зберігаються на широко використовуваних платформах, таких як Discord. Примітно, що суттєва зміна поведінки зловмисного ПЗ із середини 2023 року передбачає впровадження MQTT, полегшеного протоколу обміну повідомленнями, призначеного для невеликих датчиків і мобільних пристроїв, для зв’язку C2. Цей протокол є відносно рідкісним у середовищі загроз, лише в кількох випадках його використання, як раніше спостерігалося в таких випадках, як Tizi та MQsTTang.

Ланцюжок атак для доставки зловмисного програмного забезпечення WailingCrab

Послідовність атаки починається з електронних листів, які містять PDF-додатки з URL-адресами. Натискання цих URL-адрес ініціює завантаження файлу JavaScript, призначеного для отримання та виконання завантажувача WailingCrab, розміщеного на Discord.

Роль завантажувача полягає в тому, щоб ініціювати наступний етап, запускаючи шелл-код, який служить модулем інжектора. Це, у свою чергу, ініціює виконання завантажувача, відповідального за розгортання остаточного бекдору. У попередніх ітераціях цей компонент безпосередньо завантажував бекдор, розміщений як вкладення на CDN Discord.

Найновіша версія WailingCrab шифрує бекдор-компонент за допомогою AES. Замість того, щоб завантажувати бекдор, він звертається до свого сервера C2, щоб отримати ключ дешифрування для розшифровки бекдору. Бекдор, який діє як ядро зловмисного програмного забезпечення, встановлює стійкість на зараженому хості та зв’язується з сервером C2 через протокол MQTT для отримання додаткового корисного навантаження.

Крім того, останні варіанти бекдору відмовляються від шляху завантаження на основі Discord на користь корисного навантаження на основі коду оболонки безпосередньо з C2 через MQTT. Цей перехід до використання протоколу MQTT від WailingCrab означає навмисне зосередження на покращенні стелсу та уникненні виявлення. Нові версії WailingCrab також усувають залежність від Discord для отримання корисного навантаження, ще більше розширюючи його можливості скритності.