Ciberseguridad 360 | Malware WailingCrab se propaga a través de correos electrónicos

Se est�n utilizando mensajes de correo electr�nico con tem�tica de entregas y env�os para distribuir un sofisticado cargador de malware conocido como WailingCrab.

"El malware en s� se divide en varios componentes, incluyendo un cargador, un inyector, un descargador y una puerta trasera, y a menudo son necesarias solicitudes exitosas a servidores controlados por el C2 para recuperar la siguiente etapa", dijeron los investigadores de IBM X-Force Charlotte Hammond, Ole Villadsen y Kat Metrick.

WailingCrab, tambi�n llamado WikiLoader, fue documentado por primera vez por Proofpoint en agosto de 2023, detallando campa�as dirigidas a organizaciones italianas que utilizaban el malware para desplegar finalmente el troyano Ursnif (tambi�n conocido como Gozi). Se detect� en la naturaleza a finales de diciembre de 2022.

El malware es obra de un actor de amenazas conocido como TA544, que tambi�n es rastreado como Bamboo Spider y Zeus Panda. IBM X-Force ha denominado al cl�ster Hive0133.

Mantenido activamente por sus operadores, se ha observado que el malware incorpora caracter�sticas que priorizan el sigilo y le permiten resistir los esfuerzos de an�lisis. Para reducir a�n m�s las posibilidades de detecci�n, se utilizan sitios web leg�timos y pirateados para las comunicaciones iniciales de mando y control (C2).

Adem�s, los componentes del malware se almacenan en plataformas conocidas como Discord. Otro cambio destacable en el malware desde mediados de 2023 es el uso de MQTT, un protocolo de mensajer�a ligero para peque�os sensores y dispositivos m�viles, para C2.

Este protocolo es una rareza en el panorama de las amenazas, ya que s�lo se utiliza en contadas ocasiones, como se observ� en el caso de Tizi y MQsTTang en el pasado.

Las cadenas de ataque comienzan con correos electr�nicos que contienen archivos PDF adjuntos con URL que, al hacer clic, descargan un archivo JavaScript dise�ado para recuperar y ejecutar el cargador WailingCrab alojado en Discord.

El cargador es responsable de lanzar el shellcode de la siguiente etapa, un m�dulo inyector que, a su vez, inicia la ejecuci�n de un descargador para desplegar el backdoor en �ltima instancia.

"En versiones anteriores, este componente descargaba el backdoor, que se alojaba como archivo adjunto en la CDN de Discord", explican los investigadores.

"Sin embargo, la �ltima versi�n de WailingCrab ya contiene el componente backdoor cifrado con AES, y en su lugar se dirige a su C2 para descargar una clave de descifrado para descifrar el backdoor".

El backdoor, que act�a como n�cleo del malware, est� dise�ado para establecer persistencia en el host infectado y contactar con el servidor C2 mediante el protocolo MQTT para recibir payloads adicionales.

Adem�s, las nuevas variantes del backdoor evitan la ruta de descarga basada en Discord y utilizan una carga �til basada en shellcode directamente desde el C2 a trav�s de MQTT.

"El paso de WailingCrab al protocolo MQTT representa un esfuerzo centrado en el sigilo y la evasi�n de la detecci�n", concluyen los investigadores. "Las variantes m�s recientes de WailingCrab tambi�n eliminan las llamadas a Discord para recuperar cargas �tiles, lo que aumenta a�n m�s su sigilo".

"Discord se ha convertido en una opci�n cada vez m�s com�n para los actores de amenazas que buscan alojar malware, y como tal, es probable que las descargas de archivos desde el dominio comiencen a estar bajo mayores niveles de escrutinio. Por lo tanto, no es sorprendente que los desarrolladores de WailingCrab se hayan decidido por un enfoque alternativo."

El abuso de la red de distribuci�n de contenidos (CDN) de Discord para distribuir malware no ha pasado desapercibido para la empresa de medios sociales, que a principios de este mes dijo a Bleeping Computer que cambiar� a enlaces de archivos temporales a finales de a�o.

Fuente: thehackernews