Malware WailingCrab distribuído por meio de campanha por e-mail
E-mails com tema de entrega e envio estão sendo empregados para distribuir um sofisticado carregador de malware conhecido como WailingCrab. De acordo com pesquisadores da IBM X-Force, o malware compreende vários componentes, incluindo carregador, injetor, downloader e backdoor. Interações bem-sucedidas com servidores de comando e controle (C2) são cruciais para avançar para o próximo estágio.
Inicialmente identificado pela Proofpoint em agosto de 2023 e também conhecido como WikiLoader, o WailingCrab foi utilizado em campanhas direcionadas a organizações italianas para implantar o trojan Ursnif (também conhecido como Gozi). O malware, atribuído ao agente de ameaça TA544 ou Bamboo Spider/Zeus Panda, é gerenciado pelo cluster denominado Hive0133.
Este malware, mantido ativamente por seus operadores, incorpora recursos que priorizam a furtividade e dificultam os esforços de análise. Para evitar a detecção, sites legítimos comprometidos são empregados para comunicações C2 iniciais. Notavelmente, os componentes do malware são armazenados em plataformas populares como o Discord. Desde meados de 2023, uma mudança significativa é a adoção do MQTT, um protocolo de mensagens leve, para C2, o que é uma raridade no cenário de ameaças.
Cadeia de infecção do WailingCrab
A sequência de ataque começa com e-mails contendo anexos em PDF e URLs. Clicar nesses URLs aciona o download de um arquivo JavaScript, iniciando o carregador WailingCrab no Discord. O carregador inicia um shellcode, que ativa um módulo injetor, levando à implantação de um downloader que, em última análise, instala o backdoor.
A versão mais recente do WailingCrab criptografa o componente backdoor com AES e se comunica com seu C2 para obter uma chave de descriptografia. O backdoor, servindo como núcleo do malware, estabelece persistência no host infectado e se comunica com o servidor C2 usando o protocolo MQTT para receber cargas adicionais. Além disso, variantes recentes do backdoor optam por uma carga útil baseada em shellcode diretamente do C2 via MQTT, abandonando o caminho de download anterior baseado no Discord.