Търсене
Close this search box.

Имейл съобщенията, посветени на доставки и спедиция, се използват за доставяне на усъвършенстван злонамерен софтуер, известен като WailingCrab.

„Самият зловреден софтуер е разделен на няколко компонента, включително зареждач, инжектор, изтегляч и задна врата, а за извличането на следващия етап често са необходими успешни заявки към контролирани от C2 сървъри“, казват изследователите от IBM X-Force Шарлот Хамънд, Оле Виладсен и Кат Метрик.

WailingCrab, наричан още WikiLoader, е документиран за първи път от Proofpoint през август 2023 г., като подробно са описани кампании, насочени към италиански организации, които са използвали зловредния софтуер, за да разгърнат в крайна сметка троянеца Ursnif (известен още като Gozi). Той е забелязан в дивата природа в края на декември 2022 г.

Зловредният софтуер е дело на заплаха, известna като TA544, коqто е проследяванa и като Bamboo Spider и Zeus Panda. IBM X-Force е нарекла клъстера Hive0133.

Активно поддържан от операторите си, зловредният софтуер е наблюдаван да включва функции, които дават приоритет на скритостта и му позволяват да устои на усилията за анализ. За да се намалят още повече шансовете за откриване, за първоначалните комуникации за командване и контрол (C2) се използват легитимни, хакнати уебсайтове.

Нещо повече, компонентите на зловредния софтуер се съхраняват в добре познати платформи като Discord. Друга забележителна промяна в зловредния софтуер от средата на 2023 г. насам е използването на MQTT – олекотен протокол за обмен на съобщения за малки сензори и мобилни устройства – за C2.

Протоколът е нещо като рядкост в пейзажа на заплахите, като се използва само в няколко случая, както се наблюдаваше в случая на Tizi и MQsTTang в миналото.

Веригите от атаки започват с имейли с прикачени PDF файлове, съдържащи URL адреси, които при щракване изтеглят JavaScript файл, предназначен за извличане и стартиране на WailingCrab loader, разположен в Discord.

Зареждащият модул е отговорен за стартирането на следващия етап на shellcode, модул инжектор, който на свой ред стартира изпълнението на downloader, за да разгърне в крайна сметка backdoor.

„В предишните версии този компонент изтегляше backdoor, който се хостваше като прикачен файл в CDN на Discord“, казват изследователите.

„Най-новата версия на WailingCrab обаче вече съдържа компонента на задната врата, криптиран с AES, и вместо това той достига до своя C2, за да изтегли ключ за декриптиране, за да декриптира задната врата.“

Задната врата, която действа като ядро на зловредния софтуер, е предназначена да установи устойчивост на заразения хост и да се свърже със сървъра C2, използвайки протокола MQTT, за да получи допълнителни полезни товари.

Освен това по-новите варианти на backdoor избягват пътя за изтегляне, базиран на Discord, в полза на полезен товар, базиран на shellcode, директно от C2 чрез MQTT.

„Преминаването на WailingCrab към използване на протокола MQTT представлява целенасочено усилие за скритост и избягване на откриването“, заключават изследователите. „По-новите варианти на WailingCrab също така премахват извикванията към Discord за извличане на полезния товар, което допълнително увеличава неговата скритост.“

„Discord се превръща във все по-често срещан избор за  заплахи, които искат да хостват зловреден софтуер, и поради това е вероятно изтеглянето на файлове от домейна да започне да се подлага на по-високи нива на контрол. Ето защо не е изненадващо, че разработчиците на WailingCrab са решили да използват алтернативен подход.“

Злоупотребата с мрежата за доставка на съдържание (CDN) на Discord за разпространение на зловреден софтуер не е останала незабелязана от компанията за социални медии, която заяви пред медии по-рано този месец, че ще премине към временни файлови връзки до края на годината.

 

Източник: The Hacker News

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
15 септември 2024

ФБР: Игнорирайте фалшивите твърдения за хакнати...

Федералното бюро за разследване (ФБР) и Агенцията за киберсигурност...
15 септември 2024

Кражби в режим на киоск

Кампания за зловреден софтуер използва необичайния метод на заключв...
Бъдете социални
Още по темата
12/09/2024

Google въвежда хранилище с ...

Google вгради нова функция за съхранение...
12/09/2024

Против подигравките и "прес...

През 2017 г. написах статия, озаглавена...
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!