WailingCrab Malware distribué via une campagne par courrier électronique
Des e-mails ayant pour thème la livraison et l'expédition sont utilisés pour distribuer un chargeur de malware sophistiqué connu sous le nom de WailingCrab. Selon les chercheurs d'IBM X-Force, le malware comprend divers composants, notamment un chargeur, un injecteur, un téléchargeur et une porte dérobée. Des interactions réussies avec les serveurs de commande et de contrôle (C2) sont cruciales pour passer à l’étape suivante.
Initialement identifié par Proofpoint en août 2023 et également appelé WikiLoader, WailingCrab a été utilisé dans des campagnes ciblant des organisations italiennes pour déployer le cheval de Troie Ursnif (alias Gozi). Le malware, attribué à l'acteur malveillant TA544 ou Bamboo Spider/Zeus Panda, est géré par le cluster nommé Hive0133.
Ce malware, activement entretenu par ses opérateurs, intègre des fonctionnalités qui privilégient la furtivité et entravent les efforts d'analyse. Pour échapper à la détection, des sites Web légitimes compromis sont utilisés pour les communications C2 initiales. Notamment, les composants du malware sont stockés sur des plateformes populaires comme Discord. Depuis mi-2023, un changement important est l’adoption de MQTT, un protocole de messagerie léger, pour C2, ce qui est une rareté dans le paysage des menaces.
Chaîne d'infection de WailingCrab
La séquence d'attaque démarre avec des e-mails contenant des pièces jointes PDF et des URL. Cliquer sur ces URL déclenche le téléchargement d'un fichier JavaScript, initiant le chargeur WailingCrab sur Discord. Le chargeur lance un shellcode qui active un module d'injection, conduisant au déploiement d'un téléchargeur qui installe finalement la porte dérobée.
La dernière version de WailingCrab crypte le composant de porte dérobée avec AES et communique avec son C2 pour obtenir une clé de déchiffrement. La porte dérobée, qui constitue le cœur du malware, établit la persistance sur l'hôte infecté et communique avec le serveur C2 à l'aide du protocole MQTT pour recevoir des charges utiles supplémentaires. De plus, les variantes récentes de la porte dérobée optent pour une charge utile basée sur un shellcode directement depuis le C2 via MQTT, abandonnant ainsi le précédent chemin de téléchargement basé sur Discord.
