Los mensajes de correo electrónico con temas de entrega y envío se utilizan para entregar un sofisticado cargador de malware conocido como Cangrejo de lamentos.
«El malware en sí se divide en múltiples componentes, incluido un cargador, un inyector, un descargador y una puerta trasera, y a menudo son necesarias solicitudes exitosas a los servidores controlados por C2 para recuperar la siguiente etapa», dijeron los investigadores de IBM X-Force Charlotte Hammond, Ole Villadsen y Kat Metrick dicho.
WailingCrab, también llamado WikiLoader, fue documentado por primera vez por Proofpoint en agosto de 2023, detallando campañas dirigidas a organizaciones italianas que utilizaron el malware para finalmente implementar el troyano Ursnif (también conocido como Gozi). Fue visto en estado salvaje a finales de diciembre de 2022.
El malware es obra de un actor de amenazas conocido como TA544, que también se rastrea como Bamboo Spider y Zeus Panda. IBM X-Force ha denominado el clúster Hive0133.
Mantenido activamente por sus operadores, se ha observado que el malware incorpora características que priorizan el sigilo y le permiten resistir los esfuerzos de análisis. Para reducir aún más las posibilidades de detección, se utilizan sitios web legítimos pirateados para las comunicaciones iniciales de comando y control (C2).
Además, los componentes del malware se almacenan en plataformas conocidas como Discord. Otro cambio notable en el malware desde mediados de 2023 es el uso de MQTTun protocolo de mensajería ligero para pequeños sensores y dispositivos móviles, para C2.
El protocolo es una rareza en el panorama de amenazas, y solo se utiliza en unos pocos casos, como se observó en el caso de Tizi y MQsTTang en el pasado.
Las cadenas de ataques comienzan con correos electrónicos con archivos adjuntos PDF que contienen URL que, al hacer clic, descargan un archivo JavaScript diseñado para recuperar e iniciar el cargador WailingCrab alojado en Discord.
El cargador es responsable de iniciar el código shell de la siguiente etapa, un módulo inyector que, a su vez, inicia la ejecución de un descargador para implementar la puerta trasera en última instancia.
«En versiones anteriores, este componente descargaba la puerta trasera, que se alojaba como un archivo adjunto en la CDN de Discord», dijeron los investigadores.
«Sin embargo, la última versión de WailingCrab ya contiene el componente de puerta trasera cifrado con AES y, en cambio, se comunica con su C2 para descargar una clave de descifrado para descifrar la puerta trasera».
La puerta trasera, que actúa como núcleo del malware, está diseñada para establecer persistencia en el host infectado y contactar al servidor C2 usando el protocolo MQTT para recibir cargas útiles adicionales.
Además de eso, las variantes más nuevas de la puerta trasera evitan una ruta de descarga basada en Discord en favor de una carga útil basada en shellcode directamente desde el C2 a través de MQTT.
«El paso a utilizar el protocolo MQTT por parte de WailingCrab representa un esfuerzo centrado en el sigilo y la evasión de detección», concluyeron los investigadores. «Las variantes más nuevas de WailingCrab también eliminan las llamadas a Discord para recuperar cargas útiles, lo que aumenta aún más su sigilo».
«Discord se ha convertido en una opción cada vez más común para los actores de amenazas que buscan alojar malware y, como tal, es probable que las descargas de archivos del dominio comiencen a estar bajo niveles más altos de escrutinio. Por lo tanto, no es sorprendente que los desarrolladores de WailingCrab decidieran un enfoque alternativo.»
El abuso de la red de entrega de contenidos (CDN) de Discord para distribuir malware no ha pasado desapercibido para la empresa de redes sociales, que dijo Bleeping Computer a principios de este mes que cambiará a enlaces de archivos temporales para fin de año.