Mensagens de email com temas de entrega e transporte estão sendo usadas para entregar um sofisticado carregador de malware conhecido como WailingCrab.
"O próprio malware é dividido em vários componentes, incluindo um carregador, injetor, baixador e porta de entrada, e solicitações bem-sucedidas a servidores controlados por C2 são frequentemente necessárias para recuperar a próxima etapa", disseram os pesquisadores da IBM X-Force Charlotte Hammond, Ole Villadsen e Kat Metrick.
WailingCrab, também chamado de WikiLoader, foi documentado pela primeira vez pela Proofpoint em agosto de 2023, detalhando campanhas que visam organizações italianas que usaram o malware para, finalmente, implantar o trojan Ursnif (também conhecido como Gozi).
Ele foi visto em estado selvagem no final de dezembro de 2022.
O malware é obra de um ator de ameaça conhecido como TA544, que também é acompanhado como Bamboo Spider e Zeus Panda.
IBM X-Force nomeou o cluster como Hive0133.
Ativamente mantido por seus operadores, o malware tem sido observado incorporando recursos que priorizam a furtividade e permitem que ele resista aos esforços de análise.
Para reduzir ainda mais as chances de detecção, sites legítimos e hackeados são usados para comunicações iniciais de comando e controle (C2).
Além disso, os componentes do malware são armazenados em plataformas conhecidas como Discord.
Outra mudança notável no malware desde meados de 2023 é o uso do MQTT, um protocolo de mensagens leve para pequenos sensores e dispositivos móveis, para C2.
O protocolo é algo raro na paisagem da ameaça, como foi observado no caso de Tizi e MQsTTang no passado.
As cadeias de ataque começam com emails contendo anexos em PDF com URLs que, quando clicados, baixam um arquivo JavaScript projetado para recuperar e lançar o carregador WailingCrab hospedado no Discord.
O carregador é responsável por lançar o shellcode da próxima etapa, um módulo injetor que, por sua vez, inicia a execução de um baixador para implantar a porta de entrada finalmente.
"Em versões anteriores, este componente baixaria a porta de entrada, que seria hospedada como um anexo no CDN do Discord", disseram os pesquisadores.
"Contudo, a versão mais recente do WailingCrab já contém o componente da porta de entrada criptografado com AES, e ele busca em seu C2 para baixar uma chave de decifração para descriptografar a porta de entrada."
A porta de entrada, que age como o núcleo do malware, é projetada para estabelecer persistência no host infectado e contatar o servidor C2 usando o protocolo MQTT para receber os payloads adicionais.
Além disso, variantes mais recentes da porta de entrada abandonam um caminho de download baseado no Discord em favor de um payload baseado em shellcode diretamente do C2 via MQTT.
"A mudança para o uso do protocolo MQTT pelo WailingCrab representa um esforço concentrado em furtividade e evasão de detecção", concluíram os pesquisadores.
"As variantes mais recentes do WailingCrab também removem as chamadas para o Discord para recuperar os payloads, aumentando ainda mais sua furtividade."
"O Discord se tornou uma escolha cada vez mais comum para atores de ameaças que procuram hospedar malware, e como tal é provável que os downloads de arquivos do domínio comecem a ser mais escrutinados.
Portanto, não é surpreendente que os desenvolvedores do WailingCrab decidiram por uma abordagem alternativa."
O abuso da rede de entrega de conteúdo (CDN) do Discord para distribuir malware não passou despercebido pela empresa de mídia social, que disse ao Bleeping Computer no início deste mês que mudará os links de arquivos temporários até o final do ano.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...