builderall


Se estn utilizando mensajes de correo electrnico con temtica de entregas y envos para distribuir un sofisticado cargador de malware conocido como WailingCrab.


"El malware en s se divide en varios componentes, incluyendo un cargador, un inyector, un descargador y una puerta trasera, y a menudo son necesarias solicitudes exitosas a servidores controlados por el C2 para recuperar la siguiente etapa", dijeron los investigadores de IBM X-Force Charlotte Hammond, Ole Villadsen y Kat Metrick.


WailingCrab, tambin llamado WikiLoader, fue documentado por primera vez por Proofpoint en agosto de 2023, detallando campaas dirigidas a organizaciones italianas que utilizaban el malware para desplegar finalmente el troyano Ursnif (tambin conocido como Gozi). Se detect en la naturaleza a finales de diciembre de 2022.


El malware es obra de un actor de amenazas conocido como TA544, que tambin es rastreado como Bamboo Spider y Zeus Panda. IBM X-Force ha denominado al clster Hive0133.


Mantenido activamente por sus operadores, se ha observado que el malware incorpora caractersticas que priorizan el sigilo y le permiten resistir los esfuerzos de anlisis. Para reducir an ms las posibilidades de deteccin, se utilizan sitios web legtimos y pirateados para las comunicaciones iniciales de mando y control (C2).


Adems, los componentes del malware se almacenan en plataformas conocidas como Discord. Otro cambio destacable en el malware desde mediados de 2023 es el uso de MQTT, un protocolo de mensajera ligero para pequeos sensores y dispositivos mviles, para C2.


Este protocolo es una rareza en el panorama de las amenazas, ya que slo se utiliza en contadas ocasiones, como se observ en el caso de Tizi y MQsTTang en el pasado.


Las cadenas de ataque comienzan con correos electrnicos que contienen archivos PDF adjuntos con URL que, al hacer clic, descargan un archivo JavaScript diseado para recuperar y ejecutar el cargador WailingCrab alojado en Discord.


El cargador es responsable de lanzar el shellcode de la siguiente etapa, un mdulo inyector que, a su vez, inicia la ejecucin de un descargador para desplegar el backdoor en ltima instancia.


"En versiones anteriores, este componente descargaba el backdoor, que se alojaba como archivo adjunto en la CDN de Discord", explican los investigadores.


"Sin embargo, la ltima versin de WailingCrab ya contiene el componente backdoor cifrado con AES, y en su lugar se dirige a su C2 para descargar una clave de descifrado para descifrar el backdoor".


El backdoor, que acta como ncleo del malware, est diseado para establecer persistencia en el host infectado y contactar con el servidor C2 mediante el protocolo MQTT para recibir payloads adicionales.


Adems, las nuevas variantes del backdoor evitan la ruta de descarga basada en Discord y utilizan una carga til basada en shellcode directamente desde el C2 a travs de MQTT.


"El paso de WailingCrab al protocolo MQTT representa un esfuerzo centrado en el sigilo y la evasin de la deteccin", concluyen los investigadores. "Las variantes ms recientes de WailingCrab tambin eliminan las llamadas a Discord para recuperar cargas tiles, lo que aumenta an ms su sigilo".


"Discord se ha convertido en una opcin cada vez ms comn para los actores de amenazas que buscan alojar malware, y como tal, es probable que las descargas de archivos desde el dominio comiencen a estar bajo mayores niveles de escrutinio. Por lo tanto, no es sorprendente que los desarrolladores de WailingCrab se hayan decidido por un enfoque alternativo."


El abuso de la red de distribucin de contenidos (CDN) de Discord para distribuir malware no ha pasado desapercibido para la empresa de medios sociales, que a principios de este mes dijo a Bleeping Computer que cambiar a enlaces de archivos temporales a finales de ao.


Fuente: thehackernews