Novo carregador de malware WailingCrab se espalhando por e-mails com tema de envio

“O malware em si é dividido em vários componentes, incluindo um carregador, um injetor, um downloader e um backdoor, e solicitações bem-sucedidas para servidores controlados por C2 são frequentemente necessárias para recuperar o próximo estágio”, disseram os pesquisadores do IBM X-Force Charlotte Hammond, Ole Villadsen e Kat Metrick disse .

WailingCrab, também chamado de WikiLoader, foi documentado pela primeira vez pela Proofpoint em agosto de 2023, detalhando campanhas direcionadas a organizações italianas que usaram o malware para implantar o trojan Ursnif (também conhecido como Gozi). Foi avistado na natureza no final de dezembro de 2022.

O malware é obra de um ator de ameaça conhecido como TA544, que também é rastreado como Bamboo Spider e Zeus Panda. O IBM X-Force nomeou o cluster Hive0133.

Mantido ativamente por seus operadores, observou-se que o malware incorpora recursos que priorizam a furtividade e permitem resistir aos esforços de análise. Para reduzir ainda mais as chances de detecção, sites legítimos e hackeados são usados ​​para comunicações iniciais de comando e controle (C2).

Além do mais, os componentes do malware são armazenados em plataformas conhecidas, como o Discord. Outra mudança digna de nota no malware desde meados de 2023 é o uso do MQTT , um protocolo de mensagens leve para pequenos sensores e dispositivos móveis, para C2.

O protocolo é uma raridade no cenário de ameaças, sendo utilizado apenas em alguns casos, como observado no caso de Tizi e MQsTtang no passado.

As cadeias de ataque começam com e-mails com anexos em PDF contendo URLs que, quando clicados, baixam um arquivo JavaScript projetado para recuperar e iniciar o carregador WailingCrab hospedado no Discord.

O carregador é responsável por lançar o shellcode do próximo estágio, um módulo injetor que, por sua vez, inicia a execução de um downloader para implantar o backdoor.

“Nas versões anteriores, esse componente baixava o backdoor, que seria hospedado como um anexo no Discord CDN”, disseram os pesquisadores.

“No entanto, a versão mais recente do WailingCrab já contém o componente backdoor criptografado com AES e, em vez disso, acessa seu C2 para baixar uma chave de descriptografia para descriptografar o backdoor.”

O backdoor, que atua como núcleo do malware, foi projetado para estabelecer persistência no host infectado e entrar em contato com o servidor C2 usando o protocolo MQTT para receber cargas adicionais.

Além disso, variantes mais recentes do backdoor evitam um caminho de download baseado em Discord em favor de uma carga útil baseada em shellcode diretamente do C2 via MQTT.

“A mudança para o uso do protocolo MQTT do WailingCrab representa um esforço focado em furtividade e evasão de detecção”, concluíram os pesquisadores. “As variantes mais recentes do WailingCrab também removem as chamadas para o Discord para recuperar cargas úteis, aumentando ainda mais sua furtividade.”

“O Discord tornou-se uma escolha cada vez mais comum para os agentes de ameaças que procuram hospedar malware e, como tal, é provável que os downloads de arquivos do domínio comecem a ser submetidos a níveis mais elevados de escrutínio. Portanto, não é surpreendente que os desenvolvedores do WailingCrab tenham decidido uma abordagem alternativa.“

O abuso da rede de distribuição de conteúdo (CDN) do Discord para distribuição de malware não passou despercebido pela empresa de mídia social, que disse ao Bleeping Computer no início deste mês que mudará para links de arquivos temporários até o final do ano.

Fonte: The hackers News