WailingCrab Malware distribuert via e-postkampanje
E-poster med et leverings- og forsendelsestema brukes til å distribuere en sofistikert malware-laster kjent som WailingCrab. Ifølge forskere fra IBM X-Force består skadevare av ulike komponenter, inkludert en laster, injektor, nedlaster og bakdør. Vellykkede interaksjoner med kommando-og-kontroll-servere (C2) er avgjørende for å gå videre til neste trinn.
Opprinnelig identifisert av Proofpoint i august 2023 og også referert til som WikiLoader, ble WailingCrab brukt i kampanjer rettet mot italienske organisasjoner for å distribuere Ursnif (aka Gozi) trojaneren. Skadevaren, tilskrevet trusselaktøren TA544 eller Bamboo Spider/Zeus Panda, administreres av klyngen som heter Hive0133.
Denne skadevaren, aktivt vedlikeholdt av operatørene, inneholder funksjoner som prioriterer sniking og hindrer analysearbeid. For å unngå oppdagelse, brukes legitime kompromitterte nettsteder for innledende C2-kommunikasjon. Spesielt er komponenter av skadelig programvare lagret på populære plattformer som Discord. Siden midten av 2023 har en betydelig endring vært bruken av MQTT, en lett meldingsprotokoll, for C2, som er en sjeldenhet i trussellandskapet.
WailingCrabs infeksjonskjede
Angrepssekvensen starter med e-poster som inneholder PDF-vedlegg og URL-er. Ved å klikke på disse URL-ene utløses nedlastingen av en JavaScript-fil, og starter WailingCrab-lasteren på Discord. Lasteren lanserer en shellcode, som aktiverer en injektormodul, som fører til distribusjon av en nedlaster som til slutt installerer bakdøren.
Den siste WailingCrab-versjonen krypterer bakdørskomponenten med AES og kommuniserer med sin C2 for å få en dekrypteringsnøkkel. Bakdøren, som fungerer som skadevareens kjerne, etablerer utholdenhet på den infiserte verten og kommuniserer med C2-serveren ved å bruke MQTT-protokollen for å motta ytterligere nyttelast. Videre velger nyere varianter av bakdøren en shellcode-basert nyttelast direkte fra C2 via MQTT, og forlater den tidligere Discord-baserte nedlastingsbanen.