Logiciel malveillant WailingCrab
Les chercheurs d'Infosec avertissent que les e-mails ayant pour thème la livraison et l'expédition sont utilisés comme moyen de distribuer un chargeur de malware sophistiqué appelé WailingCrab. Ce malware comprend plusieurs composants, dont un chargeur, un injecteur, un téléchargeur et une porte dérobée. Une communication réussie avec les serveurs de commande et de contrôle (C2, C&C) est souvent nécessaire pour récupérer l'étape suivante du logiciel malveillant.
Les acteurs de la menace développent activement le logiciel malveillant WailingCrab
Les chercheurs ont initialement identifié WailingCrab en août 2023 après avoir découvert son implication dans des campagnes d'attaque contre des organisations italiennes. Ce malware a servi de canal pour le déploiement du cheval de Troie Ursnif (également connu sous le nom de Gozi). Le cerveau derrière WailingCrab est l’acteur menaçant TA544, également reconnu sous les noms de Bamboo Spider et Zeus Panda.
Maintenu en permanence par ses opérateurs, le malware présente des fonctionnalités conçues pour la furtivité, lui permettant de mieux contrecarrer les efforts d'analyse. Pour renforcer sa nature secrète, le malware initie des communications C2 via des sites Web légitimes mais compromis.
De plus, les composants du malware sont stockés sur des plateformes largement utilisées comme Discord. Notamment, une modification significative du comportement du malware depuis mi-2023 implique l'adoption de MQTT, un protocole de messagerie léger destiné aux petits capteurs et appareils mobiles, pour la communication C2. Ce protocole est relativement rare dans le paysage des menaces, avec seulement quelques cas d'utilisation, comme observé précédemment dans des cas comme Tizi et MQsTTang.
La chaîne d'attaque pour la diffusion du logiciel malveillant WailingCrab
La séquence d'attaque démarre avec des e-mails contenant des pièces jointes PDF hébergeant des URL. Cliquer sur ces URL déclenche le téléchargement d'un fichier JavaScript conçu pour récupérer et exécuter le chargeur WailingCrab hébergé sur Discord.
Le rôle du chargeur est d'initier l'étape suivante, en lançant un shellcode qui sert de module injecteur. Ceci, à son tour, déclenche l’exécution d’un téléchargeur chargé de déployer la porte dérobée ultime. Dans les itérations précédentes, ce composant téléchargeait directement la porte dérobée, hébergée en pièce jointe sur le CDN Discord.
La version la plus récente de WailingCrab crypte le composant de porte dérobée avec AES. Au lieu de télécharger la porte dérobée, il contacte son serveur C2 pour acquérir une clé de décryptage permettant de décrypter la porte dérobée. La porte dérobée, qui constitue le noyau du malware, établit la persistance sur l'hôte infecté et communique avec le serveur C2 via le protocole MQTT pour recevoir des charges utiles supplémentaires.
De plus, les dernières variantes de la porte dérobée abandonnent le chemin de téléchargement basé sur Discord au profit d'une charge utile basée sur un shellcode directement depuis le C2 via MQTT. Ce passage à l'utilisation du protocole MQTT par WailingCrab signifie une concentration délibérée sur l'amélioration de la furtivité et l'évasion de la détection. Les versions les plus récentes de WailingCrab éliminent également le recours à Discord pour la récupération des charges utiles, augmentant ainsi ses capacités furtives.
