Los mensajes de correo electr\u00f3nico con temas de entrega y env\u00edo se utilizan para entregar un sofisticado cargador de malware conocido como Cangrejo de lamentos<\/strong>.<\/p>\n “El malware en s\u00ed se divide en m\u00faltiples componentes, incluido un cargador, un inyector, un descargador y una puerta trasera, y a menudo son necesarias solicitudes exitosas a los servidores controlados por C2 para recuperar la siguiente etapa”, dijeron los investigadores de IBM X-Force Charlotte Hammond, Ole Villadsen y Kat Metrick dicho<\/a>.<\/p>\n WailingCrab, tambi\u00e9n llamado WikiLoader, fue documentado por primera vez por Proofpoint en agosto de 2023, detallando campa\u00f1as dirigidas a organizaciones italianas que utilizaron el malware para finalmente implementar el troyano Ursnif (tambi\u00e9n conocido como Gozi). Fue visto en estado salvaje a finales de diciembre de 2022.<\/p>\n El malware es obra de un actor de amenazas conocido como TA544, que tambi\u00e9n se rastrea como Bamboo Spider y Zeus Panda. IBM X-Force ha denominado el cl\u00faster Hive0133.<\/p>\n Mantenido activamente por sus operadores, se ha observado que el malware incorpora caracter\u00edsticas que priorizan el sigilo y le permiten resistir los esfuerzos de an\u00e1lisis. Para reducir a\u00fan m\u00e1s las posibilidades de detecci\u00f3n, se utilizan sitios web leg\u00edtimos pirateados para las comunicaciones iniciales de comando y control (C2).<\/p>\n Adem\u00e1s, los componentes del malware se almacenan en plataformas conocidas como Discord. Otro cambio notable en el malware desde mediados de 2023 es el uso de MQTT<\/a>un protocolo de mensajer\u00eda ligero para peque\u00f1os sensores y dispositivos m\u00f3viles, para C2.<\/p>\n El protocolo es una rareza en el panorama de amenazas, y solo se utiliza en unos pocos casos, como se observ\u00f3 en el caso de Tizi y MQsTTang en el pasado.<\/p>\n Las cadenas de ataques comienzan con correos electr\u00f3nicos con archivos adjuntos PDF que contienen URL que, al hacer clic, descargan un archivo JavaScript dise\u00f1ado para recuperar e iniciar el cargador WailingCrab alojado en Discord.<\/p>\n El cargador es responsable de iniciar el c\u00f3digo shell de la siguiente etapa, un m\u00f3dulo inyector que, a su vez, inicia la ejecuci\u00f3n de un descargador para implementar la puerta trasera en \u00faltima instancia.<\/p>\n “En versiones anteriores, este componente descargaba la puerta trasera, que se alojaba como un archivo adjunto en la CDN de Discord”, dijeron los investigadores.<\/p>\n “Sin embargo, la \u00faltima versi\u00f3n de WailingCrab ya contiene el componente de puerta trasera cifrado con AES y, en cambio, se comunica con su C2 para descargar una clave de descifrado para descifrar la puerta trasera”.<\/p>\n La puerta trasera, que act\u00faa como n\u00facleo del malware, est\u00e1 dise\u00f1ada para establecer persistencia en el host infectado y contactar al servidor C2 usando el protocolo MQTT para recibir cargas \u00fatiles adicionales.<\/p>\n Adem\u00e1s de eso, las variantes m\u00e1s nuevas de la puerta trasera evitan una ruta de descarga basada en Discord en favor de una carga \u00fatil basada en shellcode directamente desde el C2 a trav\u00e9s de MQTT.<\/p>\n “El paso a utilizar el protocolo MQTT por parte de WailingCrab representa un esfuerzo centrado en el sigilo y la evasi\u00f3n de detecci\u00f3n”, concluyeron los investigadores. “Las variantes m\u00e1s nuevas de WailingCrab tambi\u00e9n eliminan las llamadas a Discord para recuperar cargas \u00fatiles, lo que aumenta a\u00fan m\u00e1s su sigilo”.<\/p>\n “Discord se ha convertido en una opci\u00f3n cada vez m\u00e1s com\u00fan para los actores de amenazas que buscan alojar malware y, como tal, es probable que las descargas de archivos del dominio comiencen a estar bajo niveles m\u00e1s altos de escrutinio. Por lo tanto, no es sorprendente que los desarrolladores de WailingCrab decidieran un enfoque alternativo.”<\/p>\n El abuso de la red de entrega de contenidos (CDN) de Discord para distribuir malware no ha pasado desapercibido para la empresa de redes sociales, que dijo<\/a> Bleeping Computer a principios de este mes que cambiar\u00e1 a enlaces de archivos temporales para fin de a\u00f1o.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-El-nuevo-cargador-de-malware-WailingCrab-se-propaga-a.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n