哭蟹恶意软件

信息安全研究人员警告称，带有交付和运输主题的电子邮件正被用作分发名为“WailingCrab”的复杂恶意软件加载程序的手段。该恶意软件由多个组件组成，包括加载器、注入器、下载器和后门。通常需要与命令与控制（C2、C&C）服务器成功通信才能获取恶意软件的后续阶段。

威胁参与者正在积极开发WailingCrab 恶意软件

研究人员于 2023 年 8 月发现 WailingCrab 参与针对意大利组织的攻击活动后，最初发现了它。该恶意软件充当了部署Ursnif木马（也称为 Gozi）的渠道。 “WailingCrab”背后的主谋是威胁行动者 TA544，也被认为是竹蜘蛛和宙斯熊猫。

该恶意软件由其运营商持续维护，具有专为隐秘设计的功能，使其能够更好地阻止分析工作。为了增强其隐蔽性，该恶意软件通过合法但受感染的网站发起 C2 通信。

此外，恶意软件的组件存储在 Discord 等广泛使用的平台上。值得注意的是，自 2023 年中期以来，恶意软件的行为发生了重大修改，涉及采用 MQTT，这是一种用于小型传感器和移动设备的轻量级消息传递协议，用于 C2 通信。该协议在威胁环境中相对不常见，只有少数使用实例，如之前在 Tizi 和 MQsTTang 等案例中观察到的那样。

传送WailingCrab 恶意软件的攻击链

攻击序列从包含包含 URL 的 PDF 附件的电子邮件开始。单击这些 URL 会触发 JavaScript 文件的下载，该文件旨在获取并执行 Discord 上托管的 WailingCrab 加载程序。

加载器的作用是启动后续阶段，启动充当注入器模块的 shellcode。这反过来又会触发负责部署最终后门的下载程序的执行。在早期的迭代中，该组件将直接下载后门，作为附件托管在 Discord CDN 上。

最新版本的 WailingCrab 使用 AES 加密后门组件。它没有下载后门，而是联系其 C2 服务器来获取用于解密后门的解密密钥。该后门作为恶意软件的核心，在受感染的主机上建立持久性，并通过 MQTT 协议与 C2 服务器通信以接收额外的有效负载。

此外，后门的最新变体放弃了基于 Discord 的下载路径，转而通过 MQTT 直接从 C2 获取基于 shellcode 的有效负载。 WailingCrab 转向使用 MQTT 协议，标志着其刻意致力于增强隐秘性和逃避检测。新版本的WailingCrab还消除了对Discord进行有效负载检索的依赖，进一步增强了其隐身能力。