Poruke e-pošte na temu dostave i isporuke koriste se za isporuku sofisticiranog učitavača malvera poznatog kao WailingCrab.
“Sam malver je podijeljen na više komponenti, uključujući loader, injektor, downloader i backdoor, a uspješni zahtjevi prema serverima kojima upravlja C2 su često potrebni za preuzimanje sljedeće faze”, rekli su istraživači IBM X-Force Charlotte Hammond, Ole Villadsen i Kat Metrick.
WailingCrab, koji se naziva i WikiLoader, prvi je dokumentovan od strane Proofpointa u avgustu 2023. godine, sa detaljima o kampanjama usmjerenim na italijanske organizacije koje su koristile malver da konačno implementiraju Ursnif (aka Gozi) trojanac. Primećen je u okruženju krajem decembra 2022.
Malver je djelo hakera poznatog kao TA544, koji se također prati kao Bamboo Spider i Zeus Panda. IBM X-Force je klaster nazvao Hive0133.
Aktivno održavan od strane svojih operatera, primijećeno je da malver uključuje karakteristike koje daju prioritet skrivenosti i omogućavaju mu da se odupre naporima analize. Da bi se dodatno smanjile šanse za otkrivanje, za početne komunikacije komandno-kontrolnog (C2) centra koriste se legitimne, hakirane veb stranice.
Štaviše, komponente malvera se pohranjuju na dobro poznatim platformama kao što je Discord. Još jedna značajna promjena malvera od sredine 2023. je korištenje MQTT, laganog protokola za razmjenu poruka za male senzore i mobilne uređaje, za C2.
Protokol je rijetkost u pejzažu sajber prijetnji, s tim da se koristi samo u nekoliko slučajeva, kao što je uočeno u slučaju Tizi i MQsTTang u prošlosti.
Lanac napada počinje e-porukama koje sadrže PDF priloge s URL-ovima koji, kada se kliknu, preuzimaju JavaScript datoteku dizajniranu da preuzme i pokrene WailingCrab učitavač hostovan na Discordu.
Učitavač je odgovoran za pokretanje sljedeće faze shellcode-a, modula injektora koji, zauzvrat, pokreće izvršavanje downloader-a da bi konačno implementirao backdoor.
“U prethodnim verzijama, ova komponenta bi preuzimala backdoor, koji bi bio hostovan kao prilog na Discord CDN-u”, rekli su istraživači.
“Međutim, najnovija verzija WailingCrab-a već sadrži backdoor komponentu enkriptovanu pomoću AES-a, i umjesto toga se povezuje sa svojim C2 da preuzme ključ za dekripciju kako bi dešifrovala backdoor.”
Backdoor, koji djeluje kao jezgro malvera, dizajniran je da uspostavi trajnost na zaraženom hostu i kontaktira C2 server koristeći MQTT protokol za primanje dodatnih korisnih podataka.
Pored toga, novije varijante backdoor-a izbegavaju put preuzimanja zasnovan na Discordu u korist shellcode baziranog tereta direktno sa C2 preko MQTT-a.
“Prelazak na korištenje MQTT protokola od strane WailingCrab-a predstavlja fokusirani napor na skrivanje i izbjegavanje otkrivanja”, zaključili su istraživači. “Novije varijante WailingCrab-a također uklanjaju pozive Discordu za preuzimanje korisnih tereta, dodatno povećavajući njegovu neprimjetnost.”
“Discord je postao sve češći izbor za hakere koji žele da hostuju malver i vrlo je vjerovatno da će preuzimanja datoteka sa domene početi dolaziti pod viši nivo kontrole. Stoga nije iznenađujuće što su se programeri WailingCrab odlučili za alternativni pristup.”
Zloupotreba Discord-ove mreže za isporuku sadržaja (CDN) za distribuciju zlonamjernog softvera nije prošla nezapaženo od strane društvene medijske kompanije, koja je ranije ovog mjeseca rekla za Bleeping Computer da će do kraja godine preći na privremene linkove za datoteke.
Izvor: The Hacker News
