E-mailberichten met bezorg- en verzendthema worden gebruikt om een geavanceerde malware-lader af te leveren die bekend staat als WailingKrab.
“De malware zelf is opgesplitst in meerdere componenten, waaronder een loader, injector, downloader en backdoor, en succesvolle verzoeken aan C2-gestuurde servers zijn vaak nodig om de volgende fase te bereiken”, aldus IBM X-Force-onderzoekers Charlotte Hammond, Ole Villadsen en zei Kat Metrick.
WailingCrab, ook wel WikiLoader genoemd, werd voor het eerst gedocumenteerd door Proofpoint in augustus 2023, waarin campagnes werden beschreven die gericht waren op Italiaanse organisaties die de malware gebruikten om uiteindelijk de Ursnif (ook bekend als Gozi) trojan in te zetten. Eind december 2022 werd hij in het wild gespot.
De malware is het werk van een bedreigingsacteur die bekend staat als TA544, die ook wordt gevolgd als Bamboo Spider en Zeus Panda. IBM X-Force heeft het cluster Hive0133 genoemd.
De malware wordt actief onderhouden door de exploitanten en bevat functies die prioriteit geven aan stealth, waardoor analyse-inspanningen kunnen worden weerstaan. Om de kans op detectie nog verder te verkleinen, worden legitieme, gehackte websites gebruikt voor initiële command-and-control (C2)-communicatie.
Bovendien worden onderdelen van de malware opgeslagen op bekende platforms zoals Discord. Een andere opmerkelijke verandering in de malware sinds medio 2023 is het gebruik van MQTT, een lichtgewicht berichtenprotocol voor kleine sensoren en mobiele apparaten, voor C2.
Het protocol is een zeldzaamheid in het dreigingslandschap en wordt slechts in enkele gevallen gebruikt, zoals in het verleden is waargenomen in het geval van Tizi en MQsTTang.
De aanvalsketens beginnen met e-mails met pdf-bijlagen met URL’s die, wanneer erop wordt geklikt, een JavaScript-bestand downloaden dat is ontworpen om de WailingCrab-lader die op Discord wordt gehost, op te halen en te starten.
De lader is verantwoordelijk voor het lanceren van de volgende fase shellcode, een injectormodule die op zijn beurt de uitvoering van een downloader op gang brengt om uiteindelijk de achterdeur te implementeren.
“In eerdere versies downloadde dit onderdeel de achterdeur, die als bijlage op de Discord CDN zou worden gehost”, aldus de onderzoekers.
“De nieuwste versie van WailingCrab bevat echter al de achterdeurcomponent die is gecodeerd met AES, en in plaats daarvan neemt het contact op met de C2 om een decoderingssleutel te downloaden om de achterdeur te decoderen.”
De achterdeur, die fungeert als de kern van de malware, is ontworpen om persistentie op de geïnfecteerde host tot stand te brengen en contact op te nemen met de C2-server via het MQTT-protocol om extra payloads te ontvangen.
Bovendien mijden nieuwere varianten van de achterdeur een op Discord gebaseerd downloadpad ten gunste van een op shellcode gebaseerde payload rechtstreeks van de C2 via MQTT.
“De overstap naar het gebruik van het MQTT-protocol door WailingCrab vertegenwoordigt een gerichte inspanning op het gebied van stealth en detectie-ontduiking”, concludeerden de onderzoekers. “De nieuwere varianten van WailingCrab verwijderen ook de oproepen naar Discord voor het ophalen van ladingen, waardoor de stealth-functie verder wordt vergroot.”
“Onenigheid is een steeds vaker voorkomende keuze geworden voor bedreigingsactoren die malware willen hosten, en als zodanig is het waarschijnlijk dat het downloaden van bestanden vanuit het domein onder hogere controleniveaus zal komen te staan. Daarom is het niet verrassend dat de ontwikkelaars van WailingCrab besloten om een alternatieve aanpak.”
Het misbruik van het content delivery network (CDN) van Discord voor het verspreiden van malware is niet onopgemerkt gebleven door het sociale-mediabedrijf, dat eerder deze maand tegen Bleeping Computer zei dat het tegen het einde van het jaar zal overstappen op tijdelijke bestandslinks.
