WailingCrab Malware distribueret via e-mail-kampagne
E-mails med et leverings- og forsendelsestema bliver brugt til at distribuere en sofistikeret malware-loader kendt som WailingCrab. Ifølge forskere fra IBM X-Force omfatter malwaren forskellige komponenter, herunder en loader, injektor, downloader og bagdør. Succesfulde interaktioner med kommando-og-kontrol-servere (C2) er afgørende for at komme videre til næste fase.
Oprindeligt identificeret af Proofpoint i august 2023 og også omtalt som WikiLoader, blev WailingCrab brugt i kampagner rettet mod italienske organisationer for at implementere Ursnif (aka Gozi) trojaneren. Malwaren, der tilskrives trusselsaktøren TA544 eller Bamboo Spider/Zeus Panda, administreres af klyngen ved navn Hive0133.
Denne malware, der aktivt vedligeholdes af dens operatører, indeholder funktioner, der prioriterer stealth og hindrer analyseindsatsen. For at undgå opdagelse anvendes lovlige kompromitterede websteder til indledende C2-kommunikation. Især er komponenter af malwaren gemt på populære platforme som Discord. Siden midten af 2023 er en væsentlig ændring vedtagelsen af MQTT, en letvægts meddelelsesprotokol, til C2, hvilket er en sjældenhed i trusselslandskabet.
WailingCrabs infektionskæde
Angrebssekvensen starter med e-mails, der indeholder PDF-vedhæftede filer og URL'er. Ved at klikke på disse URL'er udløser download af en JavaScript-fil, og starter WailingCrab-indlæseren på Discord. Indlæseren lancerer en shellcode, som aktiverer et injektormodul, hvilket fører til implementeringen af en downloader, der i sidste ende installerer bagdøren.
Den seneste WailingCrab-version krypterer bagdørskomponenten med AES og kommunikerer med dens C2 for at få en dekrypteringsnøgle. Bagdøren, der fungerer som malwarens kerne, etablerer persistens på den inficerede vært og kommunikerer med C2-serveren ved hjælp af MQTT-protokollen for at modtage yderligere nyttelast. Desuden vælger nyere varianter af bagdøren en shellcode-baseret nyttelast direkte fra C2 via MQTT, hvilket forlader den tidligere Discord-baserede download-sti.