WailingCrab-Malware

Forscher von Infosec warnen davor, dass E-Mails mit einem Liefer- und Versandthema als Mittel zur Verbreitung eines hochentwickelten Malware-Loaders namens WailingCrab eingesetzt werden. Diese Malware besteht aus mehreren Komponenten, darunter einem Loader, einem Injektor, einem Downloader und einer Hintertür. Um die nächste Stufe der Malware abzurufen, ist häufig eine erfolgreiche Kommunikation mit Command-and-Control-Servern (C2, C&C) erforderlich.

Bedrohungsakteure entwickeln aktiv die WailingCrab-Malware

Forscher identifizierten WailingCrab erstmals im August 2023, nachdem sie seine Beteiligung an Angriffskampagnen gegen italienische Organisationen aufgedeckt hatten. Diese Malware diente als Kanal für die Verbreitung des Ursnif- Trojaners (auch bekannt als Gozi). Der Drahtzieher hinter WailingCrab ist der Bedrohungsakteur TA544, auch bekannt als Bamboo Spider und Zeus Panda.

Die Malware wird von ihren Betreibern kontinuierlich gewartet und verfügt über Funktionen, die auf Stealth ausgelegt sind und es ihr ermöglichen, Analysebemühungen besser zu vereiteln. Um ihren verdeckten Charakter zu verstärken, initiiert die Malware C2-Kommunikation über legitime, aber kompromittierte Websites.

Darüber hinaus werden Komponenten der Schadsoftware auf weit verbreiteten Plattformen wie Discord gespeichert. Eine wesentliche Änderung des Verhaltens der Malware seit Mitte 2023 ist insbesondere die Einführung von MQTT, einem leichtgewichtigen Messaging-Protokoll für kleine Sensoren und mobile Geräte, für die C2-Kommunikation. Dieses Protokoll ist in der Bedrohungslandschaft relativ selten und wird nur in wenigen Fällen verwendet, wie zuvor in Fällen wie Tizi und MQsTTang beobachtet wurde.

Die Angriffskette für die Verbreitung der WailingCrab-Malware

Die Angriffssequenz beginnt mit E-Mails, die PDF-Anhänge mit URLs enthalten. Durch Klicken auf diese URLs wird der Download einer JavaScript-Datei ausgelöst, die zum Abrufen und Ausführen des auf Discord gehosteten WailingCrab-Loaders dient.

Die Rolle des Laders besteht darin, die nächste Phase einzuleiten und einen Shellcode zu starten, der als Injektormodul dient. Dies wiederum löst die Ausführung eines Downloaders aus, der für die Bereitstellung der ultimativen Hintertür verantwortlich ist. In früheren Iterationen lud diese Komponente die Backdoor direkt herunter, die als Anhang im Discord-CDN gehostet wurde.

Die neueste Version von WailingCrab verschlüsselt die Backdoor-Komponente mit AES. Anstatt die Hintertür herunterzuladen, wendet es sich an seinen C2-Server, um einen Entschlüsselungsschlüssel zum Entschlüsseln der Hintertür zu erhalten. Die Hintertür, die als Kern der Malware fungiert, stellt eine Persistenz auf dem infizierten Host her und kommuniziert über das MQTT-Protokoll mit dem C2-Server, um zusätzliche Nutzlasten zu empfangen.

Darüber hinaus verzichten die neuesten Varianten der Backdoor auf den Discord-basierten Download-Pfad und nutzen stattdessen eine Shellcode-basierte Nutzlast direkt vom C2 über MQTT. Diese Umstellung auf die Verwendung des MQTT-Protokolls durch WailingCrab bedeutet einen bewussten Fokus auf die Verbesserung der Tarnung und die Umgehung der Erkennung. Die neueren Versionen von WailingCrab machen außerdem die Abhängigkeit von Discord für den Abruf der Nutzlast überflüssig und verbessern so die Stealth-Fähigkeiten weiter.