Търсене
Close this search box.

WailingCrab се разпространява чрез имейли на тема доставка

Имейл съобщенията, посветени на доставки и спедиция, се използват за доставяне на усъвършенстван злонамерен софтуер, известен като WailingCrab.

„Самият зловреден софтуер е разделен на няколко компонента, включително зареждач, инжектор, изтегляч и задна врата, а за извличането на следващия етап често са необходими успешни заявки към контролирани от C2 сървъри“, казват изследователите от IBM X-Force Шарлот Хамънд, Оле Виладсен и Кат Метрик.

WailingCrab, наричан още WikiLoader, е документиран за първи път от Proofpoint през август 2023 г., като подробно са описани кампании, насочени към италиански организации, които са използвали зловредния софтуер, за да разгърнат в крайна сметка троянеца Ursnif (известен още като Gozi). Той е забелязан в дивата природа в края на декември 2022 г.

Зловредният софтуер е дело на заплаха, известna като TA544, коqто е проследяванa и като Bamboo Spider и Zeus Panda. IBM X-Force е нарекла клъстера Hive0133.

Активно поддържан от операторите си, зловредният софтуер е наблюдаван да включва функции, които дават приоритет на скритостта и му позволяват да устои на усилията за анализ. За да се намалят още повече шансовете за откриване, за първоначалните комуникации за командване и контрол (C2) се използват легитимни, хакнати уебсайтове.

Нещо повече, компонентите на зловредния софтуер се съхраняват в добре познати платформи като Discord. Друга забележителна промяна в зловредния софтуер от средата на 2023 г. насам е използването на MQTT – олекотен протокол за обмен на съобщения за малки сензори и мобилни устройства – за C2.

Протоколът е нещо като рядкост в пейзажа на заплахите, като се използва само в няколко случая, както се наблюдаваше в случая на Tizi и MQsTTang в миналото.

Веригите от атаки започват с имейли с прикачени PDF файлове, съдържащи URL адреси, които при щракване изтеглят JavaScript файл, предназначен за извличане и стартиране на WailingCrab loader, разположен в Discord.

Зареждащият модул е отговорен за стартирането на следващия етап на shellcode, модул инжектор, който на свой ред стартира изпълнението на downloader, за да разгърне в крайна сметка backdoor.

„В предишните версии този компонент изтегляше backdoor, който се хостваше като прикачен файл в CDN на Discord“, казват изследователите.

„Най-новата версия на WailingCrab обаче вече съдържа компонента на задната врата, криптиран с AES, и вместо това той достига до своя C2, за да изтегли ключ за декриптиране, за да декриптира задната врата.“

Задната врата, която действа като ядро на зловредния софтуер, е предназначена да установи устойчивост на заразения хост и да се свърже със сървъра C2, използвайки протокола MQTT, за да получи допълнителни полезни товари.

Освен това по-новите варианти на backdoor избягват пътя за изтегляне, базиран на Discord, в полза на полезен товар, базиран на shellcode, директно от C2 чрез MQTT.

„Преминаването на WailingCrab към използване на протокола MQTT представлява целенасочено усилие за скритост и избягване на откриването“, заключават изследователите. „По-новите варианти на WailingCrab също така премахват извикванията към Discord за извличане на полезния товар, което допълнително увеличава неговата скритост.“

„Discord се превръща във все по-често срещан избор за  заплахи, които искат да хостват зловреден софтуер, и поради това е вероятно изтеглянето на файлове от домейна да започне да се подлага на по-високи нива на контрол. Ето защо не е изненадващо, че разработчиците на WailingCrab са решили да използват алтернативен подход.“

Злоупотребата с мрежата за доставка на съдържание (CDN) на Discord за разпространение на зловреден софтуер не е останала незабелязана от компанията за социални медии, която заяви пред медии по-рано този месец, че ще премине към временни файлови връзки до края на годината.

 

Източник: The Hacker News

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
16/04/2024

UnitedHealth Group отчете 8...

UnitedHealth Group отчете 872 млн. щатски...
16/04/2024

Cisco предупреждава за маща...

Изследователите твърдят, че атаките са започнали...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!