Malware WailingCrab distribuito tramite campagna e-mail
Le e-mail con temi di consegna e spedizione vengono utilizzate per distribuire un sofisticato caricatore di malware noto come WailingCrab. Secondo i ricercatori dell'IBM X-Force il malware è composto da vari componenti tra cui un loader, un injector, un downloader e una backdoor. Interazioni di successo con i server di comando e controllo (C2) sono cruciali per passare alla fase successiva.
Identificato inizialmente da Proofpoint nell'agosto 2023 e denominato anche WikiLoader, WailingCrab è stato utilizzato in campagne rivolte a organizzazioni italiane per distribuire il trojan Ursnif (aka Gozi). Il malware, attribuito all'attore delle minacce TA544 o Bamboo Spider/Zeus Panda, è gestito dal cluster denominato Hive0133.
Questo malware, gestito attivamente dai suoi operatori, incorpora funzionalità che privilegiano la furtività e ostacolano gli sforzi di analisi. Per eludere il rilevamento, per le comunicazioni C2 iniziali vengono utilizzati siti Web legittimi compromessi. In particolare, i componenti del malware sono archiviati su piattaforme popolari come Discord. Dalla metà del 2023, un cambiamento significativo è l’adozione di MQTT, un protocollo di messaggistica leggero, per C2, che è una rarità nel panorama delle minacce.
Catena di infezioni del Granchio Piangente
La sequenza di attacco inizia con e-mail contenenti allegati PDF e URL. Facendo clic su questi URL si attiva il download di un file JavaScript, avviando il caricatore WailingCrab su Discord. Il caricatore lancia uno shellcode, che attiva un modulo iniettore, portando alla distribuzione di un downloader che alla fine installa la backdoor.
L'ultima versione di WailingCrab crittografa il componente backdoor con AES e comunica con il suo C2 per ottenere una chiave di decrittazione. La backdoor, che funge da nucleo del malware, stabilisce la persistenza sull'host infetto e comunica con il server C2 utilizzando il protocollo MQTT per ricevere payload aggiuntivi. Inoltre, le recenti varianti della backdoor optano per un payload basato su shellcode direttamente dal C2 tramite MQTT, abbandonando il precedente percorso di download basato su Discord.