Malware WailingCrab
Los investigadores de Infosec advierten que los correos electrónicos con temas de entrega y envío se están empleando como medio para distribuir un sofisticado cargador de malware llamado WailingCrab. Este malware consta de varios componentes, incluido un cargador, un inyector, un descargador y una puerta trasera. Con frecuencia se requiere una comunicación exitosa con los servidores de comando y control (C2, C&C) para recuperar la siguiente etapa del malware.
Los actores de amenazas están desarrollando activamente el malware WailingCrab
Los investigadores identificaron inicialmente a WailingCrab en agosto de 2023 después de descubrir su participación en campañas de ataque contra organizaciones italianas. Este malware sirvió como conducto para implementar el troyano Ursnif (también conocido como Gozi). El cerebro detrás de WailingCrab es el actor de amenazas TA544, también reconocido como Bamboo Spider y Zeus Panda.
Mantenido continuamente por sus operadores, el malware exhibe características diseñadas para el sigilo, lo que le permite frustrar mejor los esfuerzos de análisis. Para mejorar su naturaleza encubierta, el malware inicia comunicaciones C2 a través de sitios web legítimos pero comprometidos.
Además, los componentes del malware se almacenan en plataformas ampliamente utilizadas como Discord. En particular, una modificación significativa en el comportamiento del malware desde mediados de 2023 implica la adopción de MQTT, un protocolo de mensajería liviano destinado a pequeños sensores y dispositivos móviles, para la comunicación C2. Este protocolo es relativamente poco común en el panorama de amenazas, con solo unos pocos casos de uso, como se observó anteriormente en casos como Tizi y MQsTTang.
La cadena de ataque para la entrega del malware WailingCrab
La secuencia de ataque comienza con correos electrónicos que contienen archivos adjuntos PDF que albergan URL. Al hacer clic en estas URL, se activa la descarga de un archivo JavaScript diseñado para buscar y ejecutar el cargador WailingCrab alojado en Discord.
La función del cargador es iniciar la etapa siguiente, lanzando un código shell que sirve como módulo inyector. Esto, a su vez, desencadena la ejecución de un descargador responsable de implementar la puerta trasera definitiva. En versiones anteriores, este componente descargaba directamente la puerta trasera, alojada como un archivo adjunto en la CDN de Discord.
La versión más reciente de WailingCrab cifra el componente de puerta trasera con AES. En lugar de descargar la puerta trasera, se comunica con su servidor C2 para adquirir una clave de descifrado para descifrar la puerta trasera. La puerta trasera, que actúa como núcleo del malware, establece persistencia en el host infectado y se comunica con el servidor C2 a través del protocolo MQTT para recibir cargas útiles adicionales.
Además, las últimas variantes de la puerta trasera abandonan la ruta de descarga basada en Discord en favor de una carga útil basada en shellcode directamente desde el C2 a través de MQTT. Este cambio al uso del protocolo MQTT por parte de WailingCrab significa un enfoque deliberado en mejorar el sigilo y evadir la detección. Las versiones más nuevas de WailingCrab también eliminan la dependencia de Discord para la recuperación de carga útil, lo que aumenta aún más sus capacidades de sigilo.
