Des messages électroniques sur le thème de la livraison et de l’expédition sont utilisés pour diffuser un chargeur de malware sophistiqué connu sous le nom de Crabe Lamentant.
« Le malware lui-même est divisé en plusieurs composants, notamment un chargeur, un injecteur, un téléchargeur et une porte dérobée, et des requêtes réussies vers des serveurs contrôlés par C2 sont souvent nécessaires pour récupérer l’étape suivante », ont déclaré Charlotte Hammond, Ole Villadsen et Ole Villadsen, chercheurs d’IBM X-Force. Kat Metrick dit.
WailingCrab, également appelé WikiLoader, a été documenté pour la première fois par Proofpoint en août 2023, détaillant les campagnes ciblant les organisations italiennes qui ont utilisé le malware pour finalement déployer le cheval de Troie Ursnif (alias Gozi). Il a été repéré à l’état sauvage fin décembre 2022.
Le malware est l’œuvre d’un acteur malveillant connu sous le nom de TA544, également suivi sous les noms de Bamboo Spider et Zeus Panda. IBM X-Force a nommé le cluster Hive0133.
Activement entretenu par ses opérateurs, le malware a été observé intégrant des fonctionnalités qui privilégient la furtivité et lui permettent de résister aux efforts d’analyse. Pour réduire davantage les chances de détection, des sites Web légitimes et piratés sont utilisés pour les communications initiales de commande et de contrôle (C2).
De plus, les composants du malware sont stockés sur des plateformes bien connues telles que Discord. Un autre changement notable apporté au malware depuis mi-2023 est l’utilisation de MQTTun protocole de messagerie léger pour les petits capteurs et appareils mobiles, pour C2.
Le protocole est plutôt rare dans le paysage des menaces, puisqu’il n’est utilisé que dans quelques cas, comme cela a été observé dans le cas de Tizi et MQsTTang dans le passé.
Les chaînes d’attaque commencent par des e-mails contenant des pièces jointes PDF contenant des URL qui, une fois cliquées, téléchargent un fichier JavaScript conçu pour récupérer et lancer le chargeur WailingCrab hébergé sur Discord.
Le chargeur est responsable du lancement du shellcode de l’étape suivante, un module d’injection qui, à son tour, démarre l’exécution d’un téléchargeur pour finalement déployer la porte dérobée.
« Dans les versions précédentes, ce composant téléchargeait la porte dérobée, qui était hébergée en pièce jointe sur le CDN Discord », ont expliqué les chercheurs.
« Cependant, la dernière version de WailingCrab contient déjà le composant de porte dérobée crypté avec AES, et elle s’adresse à son C2 pour télécharger une clé de décryptage permettant de décrypter la porte dérobée. »
La porte dérobée, qui constitue le noyau du malware, est conçue pour établir la persistance sur l’hôte infecté et contacter le serveur C2 à l’aide du protocole MQTT pour recevoir des charges utiles supplémentaires.
En plus de cela, les nouvelles variantes de la porte dérobée évitent un chemin de téléchargement basé sur Discord au profit d’une charge utile basée sur un shellcode directement depuis le C2 via MQTT.
« Le passage à l’utilisation du protocole MQTT par WailingCrab représente un effort ciblé sur la furtivité et l’évasion de détection », ont conclu les chercheurs. « Les nouvelles variantes de WailingCrab suppriment également les appels à Discord pour récupérer des charges utiles, augmentant encore sa furtivité. »
« Discord est devenu un choix de plus en plus courant pour les acteurs malveillants cherchant à héberger des logiciels malveillants, et en tant que tel, il est probable que les téléchargements de fichiers à partir du domaine commenceront à faire l’objet de niveaux de surveillance plus élevés. Il n’est donc pas surprenant que les développeurs de WailingCrab aient décidé de une approche alternative. »
L’utilisation abusive du réseau de diffusion de contenu (CDN) de Discord pour distribuer des logiciels malveillants n’est pas passée inaperçue auprès de la société de médias sociaux, qui dit Bleeping Computer plus tôt ce mois-ci, il passera aux liens de fichiers temporaires d’ici la fin de l’année.