WailingCrab-Malware wird über eine E-Mail-Kampagne verbreitet
E-Mails mit einem Liefer- und Versandthema werden verwendet, um einen hochentwickelten Malware-Loader namens WailingCrab zu verbreiten. Laut Forschern von IBM X-Force besteht die Malware aus verschiedenen Komponenten, darunter einem Loader, einem Injektor, einem Downloader und einer Hintertür. Erfolgreiche Interaktionen mit Command-and-Control-Servern (C2) sind entscheidend für den Übergang zur nächsten Stufe.
WailingCrab wurde erstmals im August 2023 von Proofpoint identifiziert und auch als WikiLoader bezeichnet. Es wurde in Kampagnen gegen italienische Organisationen eingesetzt, um den Trojaner Ursnif (auch bekannt als Gozi) einzusetzen. Die Malware, die dem Bedrohungsakteur TA544 oder Bamboo Spider/Zeus Panda zugeschrieben wird, wird vom Cluster namens Hive0133 verwaltet.
Diese Malware, die von ihren Betreibern aktiv gepflegt wird, enthält Funktionen, die der Tarnung Vorrang geben und Analysebemühungen behindern. Um einer Entdeckung zu entgehen, werden für die erste C2-Kommunikation legitime kompromittierte Websites verwendet. Insbesondere werden Komponenten der Malware auf beliebten Plattformen wie Discord gespeichert. Eine wesentliche Änderung seit Mitte 2023 ist die Einführung von MQTT, einem leichtgewichtigen Messaging-Protokoll, für C2, was in der Bedrohungslandschaft eine Seltenheit darstellt.
Infektionskette von WailingCrab
Die Angriffssequenz beginnt mit E-Mails, die PDF-Anhänge und URLs enthalten. Durch Klicken auf diese URLs wird der Download einer JavaScript-Datei ausgelöst, wodurch der WailingCrab-Loader auf Discord gestartet wird. Der Loader startet einen Shellcode, der ein Injektormodul aktiviert, was zur Bereitstellung eines Downloaders führt, der letztendlich die Hintertür installiert.
Die neueste WailingCrab-Version verschlüsselt die Backdoor-Komponente mit AES und kommuniziert mit ihrem C2, um einen Entschlüsselungsschlüssel zu erhalten. Die Hintertür, die als Kern der Malware dient, stellt eine Persistenz auf dem infizierten Host her und kommuniziert über das MQTT-Protokoll mit dem C2-Server, um zusätzliche Nutzlasten zu empfangen. Darüber hinaus entscheiden sich neuere Varianten der Hintertür für eine Shellcode-basierte Nutzlast direkt vom C2 über MQTT und geben den bisherigen Discord-basierten Download-Pfad auf.