Phishing emails με θέμα την παράδοση και την αποστολή προϊόντων χρησιμοποιούνται για τη διανομή ενός εξελιγμένου malware loader, γνωστού ως WailingCrab.
“Το ίδιο το κακόβουλο λογισμικό χωρίζεται σε πολλαπλά components, συμπεριλαμβανομένου ενός loader, ενός injector, ενός downloader και ενός backdoor, και τα επιτυχημένα αιτήματα σε C2-controlled servers είναι συχνά απαραίτητα για την ανάκτηση του επόμενου σταδίου“, δήλωσαν οι ερευνητές της IBM X-Force, Charlotte Hammond, Ole Villadsen και Kat Metrick.
Το WailingCrab, που είναι γνωστό και ως WikiLoader, τεκμηριώθηκε για πρώτη φορά από την Proofpoint τον Αύγουστο του 2023. Τότε, το malware χρησιμοποιούνταν για επιθέσεις σε ιταλικούς οργανισμούς. Τελικός στόχος, ήταν η μόλυνση με το Ursnif (γνωστό και ως Gozi) trojan.
Δείτε επίσης: Konni malware: Διανέμεται μέσω phishing emails και στοχεύει Ρώσους χρήστες
Το κακόβουλο λογισμικό φαίνεται να είναι δημιουργία της ομάδας TA544, η οποία παρακολουθείται επίσης ως Bamboo Spider και Zeus Panda. Η IBM X-Force ονόμασε την ομάδα Hive0133.
Το κακόβουλο λογισμικό ενσωματώνει χαρακτηριστικά που δίνουν προτεραιότητα στη μυστικότητα και στην αποφυγή του εντοπισμού και της ανάλυσης. Για να μειωθούν περαιτέρω οι πιθανότητες εντοπισμού, χρησιμοποιούνται νόμιμοι, παραβιασμένοι ιστότοποι για τις αρχικές επικοινωνίες command-and-control (C2).
Επιπλέον, τα components του κακόβουλου λογισμικού αποθηκεύονται σε γνωστές πλατφόρμες όπως το Discord και χρησιμοποιείται το MQTT, ένα ελαφρύ πρωτόκολλο ανταλλαγής μηνυμάτων για μικρούς αισθητήρες και κινητές συσκευές, για το C2.
Η επίθεση ξεκινά με την αποστολή phishing emails που περιέχουν συνημμένα PDF. Αυτά τα αρχεία περιλαμβάνουν συνδέσμους URL. Αν ο χρήστης κάνει κλικ, γίνεται λήψη ενός αρχείου JavaScript που έχει σχεδιαστεί για την ανάκτηση και εκκίνηση του WailingCrab loader που φιλοξενείται στο Discord.
Το loader είναι υπεύθυνο για την εκκίνηση του next-stage shellcode, ενός injector module που, με τη σειρά του, ξεκινά την εκτέλεση ενός downloader για να αναπτύξει τελικά το backdoor.
Δείτε επίσης: ClearFake: Η κακόβουλη καμπάνια στοχεύει Mac για τη διανομή του Atomic infostealer
Το backdoor έχει σχεδιαστεί για να δημιουργεί persistence στο μολυσμένο σύστημα και να επικοινωνεί με τον C2 server χρησιμοποιώντας το πρωτόκολλο MQTT για τη λήψη πρόσθετων payloads.
Επιπλέον, οι νεότερες παραλλαγές του backdoor αποφεύγουν ένα Discord-based download path προς όφελος ενός shellcode-based payload απευθείας από το C2 μέσω MQTT.
“Η χρήση του πρωτοκόλλου MQTT από το WailingCrab malware αντιπροσωπεύει μια εστιασμένη προσπάθεια για τη μυστικότητα και την αποφυγή εντοπισμού”, κατέληξαν οι ερευνητές. “Οι νεότερες παραλλαγές του WailingCrab αφαιρούν επίσης τα μηνύματα στο Discord για την ανάκτηση payloads, αυξάνοντας περαιτέρω τη μυστικότητά του“.
“Το Discord έχει γίνει μια ολοένα και πιο κοινή επιλογή για τους φορείς απειλών που θέλουν να φιλοξενήσουν κακόβουλο λογισμικό, και ως εκ τούτου είναι πιθανό ότι οι λήψεις αρχείων από το domain θα αρχίσουν να υπόκεινται σε υψηλότερα επίπεδα ελέγχου. Επομένως, δεν αποτελεί έκπληξη το γεγονός ότι οι προγραμματιστές του WailingCrab αποφάσισαν μια εναλλακτική προσέγγιση“.
Ένας από τους βασικούς τρόπους πρόληψης μιας επίθεσης WailingCrab malware είναι η χρήση ενημερωμένου λογισμικού. Οι κακόβουλοι χρήστες εκμεταλλεύονται συχνά τις ευπάθειες των παλαιών εκδόσεων λογισμικού για να εισβάλλουν στα συστήματα. Επομένως, είναι σημαντικό να ελέγχετε και να ενημερώνετε τα λογισμικά σας σε τακτική βάση.
Δείτε επίσης: Πόλεμος στη Γάζα: Phishing καμπάνια ξεγελά θύματα με υποτιθέμενες δωρεές
Ένα άλλο σημαντικό μέτρο πρόληψης είναι η προσοχή κατά το άνοιγμα ηλεκτρονικών μηνυμάτων και συνημμένων αρχείων. Αποφεύγετε το άνοιγμα μηνυμάτων από άγνωστους αποστολείς ή με ύποπτο περιεχόμενο. Επίσης, μην κάνετε κλικ σε συνημμένα αρχεία που δεν περιμένατε ή που φαίνονται ύποπτα.
Επιπλέον, η χρήση ισχυρών κωδικών πρόσβασης είναι ζωτικής σημασίας για την προστασία από το WailingCrab malware. Επιλέξτε μεγάλους και πολύπλοκους κωδικούς που περιλαμβάνουν γράμματα, αριθμούς και ειδικούς χαρακτήρες. Αποφύγετε την επαναχρησιμοποίηση των κωδικών σας σε διάφορες υπηρεσίες.
Τέλος, η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού ασφαλείας είναι απαραίτητη για την προστασία από malware. Ένα καλό πρόγραμμα ασφαλείας μπορεί να ανιχνεύσει και να απομονώσει το κακόβουλο λογισμικό πριν προλάβει να προκαλέσει ζημιά στο σύστημα σας.
Πηγή: thehackernews.com
