Các email theo chủ đề gửi và vận chuyển đang được sử dụng để cung cấp một trình tải phần mềm độc hại tinh vi được gọi là WailingCrab.
"Bản thân phần mềm độc hại được chia thành nhiều thành phần, bao gồm trình tải, trình tiêm, trình tải xuống và cửa hậu và các yêu cầu thành công đến các máy chủ do C2 kiểm soát thường là cần thiết để truy xuất giai đoạn tiếp theo", các nhà nghiên cứu Charlotte Hammond, Ole Villadsen và Kat Metrick của IBM cho biết.
WailingCrab, còn được gọi là WikiLoader, lần đầu tiên được Proofpoint ghi lại vào tháng 8/2023, nêu chi tiết các chiến dịch nhắm vào các tổ chức Ý đã sử dụng phần mềm độc hại để cuối cùng triển khai trojan Ursnif (hay còn gọi là Gozi). Nó được phát hiện trong tự nhiên vào cuối tháng 12/2022.
Phần mềm độc hại này là sản phẩm của một tác nhân đe dọa được gọi là TA544, còn được theo dõi là Bamboo Spider và Zeus Panda. IBM X-Force đã đặt tên cho cụm là Hive0133.
Được duy trì tích cực bởi các nhà khai thác của nó, phần mềm độc hại đã được quan sát thấy kết hợp các tính năng ưu tiên tàng hình và cho phép nó chống lại các nỗ lực phân tích. Để giảm hơn nữa cơ hội bị phát hiện, các trang web hợp pháp, bị tấn công được sử dụng cho các liên lạc chỉ huy và kiểm soát ban đầu (C2).
Hơn nữa, các thành phần của phần mềm độc hại được lưu trữ trên các nền tảng nổi tiếng như Discord. Một thay đổi đáng chú ý khác đối với phần mềm độc hại kể từ giữa năm 2023 là việc sử dụng MQTT, một giao thức nhắn tin nhẹ cho các cảm biến nhỏ và thiết bị di động, cho C2.
Giao thức này là một cái gì đó hiếm hoi trong bối cảnh mối đe dọa, với nó chỉ được sử dụng trong một vài trường hợp, như đã quan sát trong trường hợp của Tizi và MQsTTang trong quá khứ.
Các chuỗi tấn công bắt đầu với các email chứa tệp đính kèm PDF chứa URL, khi được nhấp vào, tải xuống tệp JavaScript được thiết kế để truy xuất và khởi chạy trình tải WailingCrab được lưu trữ trên Discord.
Trình tải chịu trách nhiệm khởi chạy shellcode giai đoạn tiếp theo, một mô-đun kim phun, lần lượt, khởi động việc thực thi trình tải xuống để triển khai backdoor cuối cùng.
"Trong các phiên bản trước, thành phần này sẽ tải xuống backdoor, sẽ được lưu trữ dưới dạng tệp đính kèm trên Discord CDN", các nhà nghiên cứu cho biết.
"Tuy nhiên, phiên bản mới nhất của WailingCrab đã chứa thành phần backdoor được mã hóa bằng AES và thay vào đó nó liên hệ với C2 để tải xuống khóa giải mã để giải mã backdoor."
Backdoor, hoạt động như lõi của phần mềm độc hại, được thiết kế để thiết lập sự tồn tại trên máy chủ bị nhiễm và liên hệ với máy chủ C2 bằng giao thức MQTT để nhận thêm tải trọng.
Trên hết, các biến thể mới hơn của backdoor tránh đường dẫn tải xuống dựa trên Discord để ủng hộ tải trọng dựa trên shellcode trực tiếp từ C2 thông qua MQTT.
"Việc chuyển sang sử dụng giao thức MQTT của WailingCrab thể hiện nỗ lực tập trung vào tàng hình và trốn tránh phát hiện", các nhà nghiên cứu kết luận. "Các biến thể mới hơn của WailingCrab cũng loại bỏ các chú thích cho Discord để truy xuất tải trọng, làm tăng thêm khả năng tàng hình của nó."
"Discord đã trở thành một lựa chọn ngày càng phổ biến cho các tác nhân đe dọa muốn lưu trữ phần mềm độc hại và do đó có khả năng việc tải xuống tệp từ miền sẽ bắt đầu chịu sự giám sát cao hơn. Do đó, không có gì đáng ngạc nhiên khi các nhà phát triển của WailingCrab quyết định một cách tiếp cận thay thế.
Việc lạm dụng mạng phân phối nội dung (CDN) của Discord để phân phối phần mềm độc hại đã không được chú ý bởi công ty truyền thông xã hội, công ty đã nói với Bleeping Computer vào đầu tháng này rằng họ sẽ chuyển sang các liên kết tệp tạm thời vào cuối năm nay.