Złośliwe oprogramowanie WailingCrab rozpowszechniane za pośrednictwem kampanii e-mailowej

Wiadomości e-mail z tematem dostawy i wysyłki są wykorzystywane do dystrybucji wyrafinowanego modułu ładującego złośliwe oprogramowanie znanego jako WailingCrab. Według badaczy z IBM X-Force szkodliwe oprogramowanie składa się z różnych komponentów, w tym modułu ładującego, wtryskiwacza, modułu pobierania i backdoora. Pomyślne interakcje z serwerami dowodzenia i kontroli (C2) mają kluczowe znaczenie dla przejścia do następnego etapu.

Pierwotnie zidentyfikowany przez Proofpoint w sierpniu 2023 r. i nazywany także WikiLoader, WailingCrab był wykorzystywany w kampaniach skierowanych do włoskich organizacji w celu wdrożenia trojana Ursnif (znanego również jako Gozi). Szkodnikiem przypisywanym ugrupowaniu zagrażającemu TA544 lub Bamboo Spider/Zeus Panda zarządza klaster o nazwie Hive0133.

To złośliwe oprogramowanie, aktywnie utrzymywane przez jego operatorów, zawiera funkcje, które traktują priorytetowo ukrywanie się i utrudniają analizy. Aby uniknąć wykrycia, do początkowej komunikacji C2 wykorzystywane są legalne, zainfekowane strony internetowe. Warto zauważyć, że komponenty szkodliwego oprogramowania są przechowywane na popularnych platformach, takich jak Discord. Od połowy 2023 r. znaczącą zmianą jest przyjęcie MQTT – lekkiego protokołu przesyłania wiadomości – dla C2, co jest rzadkością w krajobrazie zagrożeń.

Łańcuch infekcji Płaczącego Kraba

Sekwencja ataku rozpoczyna się od wiadomości e-mail zawierających załączniki w formacie PDF i adresy URL. Kliknięcie tych adresów URL powoduje pobranie pliku JavaScript, inicjując moduł ładujący WailingCrab na Discordzie. Program ładujący uruchamia kod powłoki, który aktywuje moduł wtryskiwacza, co prowadzi do wdrożenia modułu pobierania, który ostatecznie instaluje backdoora.

Najnowsza wersja WailingCrab szyfruje komponent backdoora za pomocą AES i komunikuje się ze swoim C2 w celu uzyskania klucza deszyfrującego. Backdoor, będący rdzeniem szkodliwego oprogramowania, ustanawia trwałość na zainfekowanym hoście i komunikuje się z serwerem C2 za pomocą protokołu MQTT w celu otrzymania dodatkowych ładunków. Co więcej, najnowsze warianty backdoora wykorzystują ładunek oparty na kodzie powłoki bezpośrednio z C2 za pośrednictwem MQTT, rezygnując z poprzedniej ścieżki pobierania opartej na Discord.