E-mail kampányon keresztül terjesztett WailingCrab rosszindulatú program
A kézbesítési és szállítási témájú e-maileket a WailingCrab néven ismert, kifinomult rosszindulatú programbetöltő terjesztésére alkalmazzák. Az IBM X-Force kutatói szerint a kártevő különféle összetevőket tartalmaz, beleértve a betöltőt, az injektort, a letöltőt és a hátsó ajtót. A parancs és vezérlő (C2) kiszolgálókkal való sikeres interakció kulcsfontosságú a következő szakaszba való továbblépéshez.
A Proofpoint által 2023 augusztusában azonosított, és WikiLoaderként is emlegetett WailingCrabot olyan kampányokban használták, amelyek az olasz szervezeteket célozták meg az Ursnif (más néven Gozi) trójai telepítésére. A TA544-nek vagy a Bamboo Spider/Zeus Pandának tulajdonított kártevőt a Hive0133 nevű klaszter kezeli.
Ez a rosszindulatú program, amelyet üzemeltetői aktívan karbantartanak, olyan funkciókat tartalmaznak, amelyek előnyben részesítik a lopakodást és akadályozzák az elemzési erőfeszítéseket. Az észlelés elkerülése érdekében jogszerűen feltört webhelyeket használnak a kezdeti C2 kommunikációhoz. Nevezetesen, a rosszindulatú program összetevőit olyan népszerű platformokon tárolják, mint a Discord. 2023 közepe óta jelentős változás az MQTT, egy könnyű üzenetküldési protokoll bevezetése a C2-hez, ami ritkaság a fenyegetettségi környezetben.
WailingCrab fertőzési lánca
A támadássorozat PDF-mellékleteket és URL-címeket tartalmazó e-mailekkel indul. Ha ezekre az URL-ekre kattint, egy JavaScript-fájl letöltését indítja el, elindítva a WailingCrab betöltőt a Discordon. A betöltő elindít egy shellkódot, amely aktivál egy injektor modult, ami egy letöltő telepítéséhez vezet, amely végül telepíti a hátsó ajtót.
A legújabb WailingCrab verzió AES-sel titkosítja a hátsó ajtó komponenst, és kommunikál a C2-vel, hogy megkapja a visszafejtési kulcsot. A rosszindulatú program magjaként szolgáló hátsó ajtó biztosítja a perzisztenciát a fertőzött gazdagépen, és az MQTT protokoll használatával kommunikál a C2 szerverrel, hogy további hasznos adatokat fogadjon. Ezen túlmenően a hátsó ajtó legújabb változatai a shellkód-alapú hasznos adatot választják közvetlenül a C2-ről az MQTT-n keresztül, felhagyva a korábbi Discord-alapú letöltési útvonallal.