builderall


Se están utilizando mensajes de correo electrónico con temática de entregas y envíos para distribuir un sofisticado cargador de malware conocido como WailingCrab.


"El malware en sí se divide en varios componentes, incluyendo un cargador, un inyector, un descargador y una puerta trasera, y a menudo son necesarias solicitudes exitosas a servidores controlados por el C2 para recuperar la siguiente etapa", dijeron los investigadores de IBM X-Force Charlotte Hammond, Ole Villadsen y Kat Metrick.


WailingCrab, también llamado WikiLoader, fue documentado por primera vez por Proofpoint en agosto de 2023, detallando campañas dirigidas a organizaciones italianas que utilizaban el malware para desplegar finalmente el troyano Ursnif (también conocido como Gozi). Se detectó en la naturaleza a finales de diciembre de 2022.


El malware es obra de un actor de amenazas conocido como TA544, que también es rastreado como Bamboo Spider y Zeus Panda. IBM X-Force ha denominado al clúster Hive0133.


Mantenido activamente por sus operadores, se ha observado que el malware incorpora características que priorizan el sigilo y le permiten resistir los esfuerzos de análisis. Para reducir aún más las posibilidades de detección, se utilizan sitios web legítimos y pirateados para las comunicaciones iniciales de mando y control (C2).


Además, los componentes del malware se almacenan en plataformas conocidas como Discord. Otro cambio destacable en el malware desde mediados de 2023 es el uso de MQTT, un protocolo de mensajería ligero para pequeños sensores y dispositivos móviles, para C2.


Este protocolo es una rareza en el panorama de las amenazas, ya que sólo se utiliza en contadas ocasiones, como se observó en el caso de Tizi y MQsTTang en el pasado.


Las cadenas de ataque comienzan con correos electrónicos que contienen archivos PDF adjuntos con URL que, al hacer clic, descargan un archivo JavaScript diseñado para recuperar y ejecutar el cargador WailingCrab alojado en Discord.


El cargador es responsable de lanzar el shellcode de la siguiente etapa, un módulo inyector que, a su vez, inicia la ejecución de un descargador para desplegar el backdoor en última instancia.


"En versiones anteriores, este componente descargaba el backdoor, que se alojaba como archivo adjunto en la CDN de Discord", explican los investigadores.


"Sin embargo, la última versión de WailingCrab ya contiene el componente backdoor cifrado con AES, y en su lugar se dirige a su C2 para descargar una clave de descifrado para descifrar el backdoor".


El backdoor, que actúa como núcleo del malware, está diseñado para establecer persistencia en el host infectado y contactar con el servidor C2 mediante el protocolo MQTT para recibir payloads adicionales.


Además, las nuevas variantes del backdoor evitan la ruta de descarga basada en Discord y utilizan una carga útil basada en shellcode directamente desde el C2 a través de MQTT.


"El paso de WailingCrab al protocolo MQTT representa un esfuerzo centrado en el sigilo y la evasión de la detección", concluyen los investigadores. "Las variantes más recientes de WailingCrab también eliminan las llamadas a Discord para recuperar cargas útiles, lo que aumenta aún más su sigilo".


"Discord se ha convertido en una opción cada vez más común para los actores de amenazas que buscan alojar malware, y como tal, es probable que las descargas de archivos desde el dominio comiencen a estar bajo mayores niveles de escrutinio. Por lo tanto, no es sorprendente que los desarrolladores de WailingCrab se hayan decidido por un enfoque alternativo."


El abuso de la red de distribución de contenidos (CDN) de Discord para distribuir malware no ha pasado desapercibido para la empresa de medios sociales, que a principios de este mes dijo a Bleeping Computer que cambiará a enlaces de archivos temporales a finales de año.


Fuente: thehackernews