Phần mềm độc hại Cua than khóc

Các nhà nghiên cứu của Infosec đang cảnh báo rằng các email có chủ đề gửi và gửi đang được sử dụng như một phương tiện để phát tán một trình tải phần mềm độc hại tinh vi có tên là WailingCrab. Phần mềm độc hại này bao gồm một số thành phần, bao gồm trình tải, trình tiêm, trình tải xuống và cửa sau. Thường xuyên phải giao tiếp thành công với các máy chủ Command-and-Control (C2, C&C) để tìm nạp giai đoạn tiếp theo của phần mềm độc hại.

Những kẻ đe dọa đang tích cực phát triển phần mềm độc hại WailingCrab

Các nhà nghiên cứu ban đầu xác định được WailingCrab vào tháng 8 năm 2023 sau khi phát hiện ra sự liên quan của nó trong các chiến dịch tấn công chống lại các tổ chức của Ý. Phần mềm độc hại này đóng vai trò là đường dẫn để triển khai Trojan Ursnif (còn được gọi là Gozi). Kẻ chủ mưu đằng sau WailingCrab là kẻ đe dọa TA544, còn được xác định là Bamboo Spider và Zeus Panda.

Được các nhà khai thác liên tục duy trì, phần mềm độc hại này có các tính năng được thiết kế để tàng hình, cho phép nó cản trở các nỗ lực phân tích tốt hơn. Để nâng cao tính chất bí mật của nó, phần mềm độc hại bắt đầu liên lạc C2 thông qua các trang web hợp pháp nhưng bị xâm phạm.

Hơn nữa, các thành phần của phần mềm độc hại được lưu trữ trên các nền tảng được sử dụng rộng rãi như Discord. Đáng chú ý, một sửa đổi đáng kể đối với hành vi của phần mềm độc hại kể từ giữa năm 2023 liên quan đến việc áp dụng MQTT, một giao thức nhắn tin nhẹ dành cho các cảm biến nhỏ và thiết bị di động, để liên lạc C2. Giao thức này tương đối phổ biến trong bối cảnh mối đe dọa, chỉ có một vài trường hợp được sử dụng, như đã thấy trước đây trong các trường hợp như Tizi và MQsTTang.

Chuỗi tấn công để phát tán phần mềm độc hại WailingCrab

Chuỗi tấn công bắt đầu bằng các email chứa tệp đính kèm PDF chứa URL. Việc nhấp vào các URL này sẽ kích hoạt quá trình tải xuống tệp JavaScript được thiết kế để tìm nạp và thực thi trình tải WailingCrab được lưu trữ trên Discord.

Vai trò của trình tải là bắt đầu giai đoạn tiếp theo, khởi chạy shellcode đóng vai trò như một mô-đun bộ tiêm. Điều này sẽ kích hoạt việc thực thi một trình tải xuống chịu trách nhiệm triển khai cửa sau cuối cùng. Trong các lần lặp lại trước đó, thành phần này sẽ trực tiếp tải xuống cửa sau, được lưu trữ dưới dạng tệp đính kèm trên CDN Discord.

Phiên bản mới nhất của WailingCrab mã hóa thành phần cửa sau bằng AES. Thay vì tải xuống cửa sau, nó liên hệ với máy chủ C2 của mình để lấy khóa giải mã để giải mã cửa sau. Cửa hậu, đóng vai trò là lõi của phần mềm độc hại, thiết lập sự tồn tại trên máy chủ bị nhiễm và liên lạc với máy chủ C2 thông qua giao thức MQTT để nhận thêm tải trọng.

Hơn nữa, các biến thể mới nhất của cửa sau từ bỏ đường dẫn tải xuống dựa trên Discord để chuyển sang tải trọng dựa trên shellcode trực tiếp từ C2 thông qua MQTT. Việc chuyển sang sử dụng giao thức MQTT này của WailingCrab biểu thị sự tập trung có chủ ý vào việc tăng cường khả năng tàng hình và trốn tránh sự phát hiện. Các phiên bản mới hơn của WailingCrab cũng loại bỏ sự phụ thuộc vào Discord để truy xuất tải trọng, tăng cường hơn nữa khả năng tàng hình của nó.