WailingCrab Malware distribueras via e-postkampanj
E-postmeddelanden med ett leverans- och leveranstema används för att distribuera en sofistikerad skadlig programvara känd som WailingCrab. Enligt forskare från IBM X-Force består skadlig programvara av olika komponenter, inklusive en laddare, injektor, nedladdare och bakdörr. Framgångsrika interaktioner med kommando-och-kontroll-servrar (C2) är avgörande för att gå vidare till nästa steg.
WailingCrab, som ursprungligen identifierades av Proofpoint i augusti 2023 och även kallad WikiLoader, användes i kampanjer riktade mot italienska organisationer för att distribuera Ursnif (aka Gozi) trojan. Skadlig programvara, som tillskrivs hotaktören TA544 eller Bamboo Spider/Zeus Panda, hanteras av klustret som heter Hive0133.
Denna skadliga programvara, som aktivt underhålls av dess operatörer, innehåller funktioner som prioriterar smygande och hindrar analysinsatser. För att undvika upptäckt används legitima komprometterade webbplatser för initial C2-kommunikation. Noterbart är att komponenter av skadlig programvara lagras på populära plattformar som Discord. Sedan mitten av 2023 är en betydande förändring antagandet av MQTT, ett lättviktigt meddelandeprotokoll, för C2, vilket är en sällsynthet i hotbilden.
WailingCrabs infektionskedja
Attacksekvensen initieras med e-postmeddelanden som innehåller PDF-bilagor och webbadresser. Att klicka på dessa webbadresser utlöser nedladdningen av en JavaScript-fil, vilket initierar WailingCrab-laddaren på Discord. Laddaren lanserar en skalkod, som aktiverar en injektormodul, vilket leder till att en nedladdare installeras som i slutändan installerar bakdörren.
Den senaste WailingCrab-versionen krypterar bakdörrskomponenten med AES och kommunicerar med dess C2 för att få en dekrypteringsnyckel. Bakdörren, som fungerar som skadlig programvaras kärna, etablerar uthållighet på den infekterade värden och kommunicerar med C2-servern med hjälp av MQTT-protokollet för att ta emot ytterligare nyttolaster. Dessutom väljer nya varianter av bakdörren en skalkodbaserad nyttolast direkt från C2 via MQTT, vilket överger den tidigare Discord-baserade nedladdningsvägen.
