Вредоносное ПО WailingCrab распространяется посредством рассылки по электронной почте
Электронные письма, посвященные доставке и доставке, используются для распространения сложного загрузчика вредоносного ПО, известного как WailingCrab. По мнению исследователей из IBM X-Force, вредоносное ПО состоит из различных компонентов, включая загрузчик, инжектор, загрузчик и бэкдор. Успешное взаимодействие с серверами управления и контроля (C2) имеет решающее значение для перехода к следующему этапу.
Первоначально идентифицированный Proofpoint в августе 2023 года и также известный как WikiLoader, WailingCrab использовался в кампаниях, нацеленных на итальянские организации, с целью развертывания трояна Ursnif (он же Gozi). Вредоносная программа, приписываемая злоумышленнику TA544 или Bamboo Spider/Zeus Panda, управляется кластером Hive0133.
Это вредоносное ПО, активно поддерживаемое его операторами, включает в себя функции, которые отдают приоритет скрытности и затрудняют усилия по анализу. Чтобы избежать обнаружения, для первоначальной связи C2 используются законные взломанные веб-сайты. Примечательно, что компоненты вредоносного ПО хранятся на популярных платформах, таких как Discord. С середины 2023 года существенным изменением стало внедрение MQTT, облегченного протокола обмена сообщениями, для C2, что является редкостью в сфере угроз.
Цепочка заражения Стенающего Краба
Последовательность атак начинается с электронных писем, содержащих вложения PDF и URL-адреса. Нажатие на эти URL-адреса запускает загрузку файла JavaScript, запуская загрузчик WailingCrab в Discord. Загрузчик запускает шеллкод, который активирует модуль-инжектор, что приводит к развертыванию загрузчика, который в конечном итоге устанавливает бэкдор.
Последняя версия WailingCrab шифрует компонент бэкдора с помощью AES и связывается со своим C2 для получения ключа дешифрования. Бэкдор, служащий ядром вредоносного ПО, обеспечивает постоянство на зараженном хосте и связывается с сервером C2 по протоколу MQTT для получения дополнительных полезных данных. Кроме того, в последних вариантах бэкдора используется полезная нагрузка на основе шеллкода непосредственно из C2 через MQTT, отказываясь от предыдущего пути загрузки на основе Discord.