IBM X-Force выявила новый загрузчик вредоносного ПО, получивший название WailingCrab (WikiLoader). Впервые задокументированный в августе 2023 года, вирус использовался для атак на итальянские организации с целью развертывания трояна Ursnif. За создание вредоносного ПО стоит хакерская группа TA544 (Bamboo Spider, Zeus Panda). IBM X-Force назвала эту группировку Hive0133.
Операторы WailingCrab постоянно обновляют вредоносное ПО, добавляя функции, обеспечивающие скрытность и затрудняющие анализ. Для снижения шансов обнаружения используются взломанные легитимные веб-сайты для первоначальной связи с сервером управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2). Также компоненты вредоносного ПО размещаются на Discord. С середины 2023 года в WailingCrab для связи с C2-сервером используется протокол обмена сообщениями MQTT, что является редкостью в мире киберугроз.
WailingCrab состоит из нескольких компонентов: загрузчика, инжектора, загрузчика и бэкдора. Атаки начинаются с электронных писем с PDF-вложениями, содержащими URL-адреса, при нажатии на которые загружается JavaScript-файл, запускающий загрузчик WailingCrab, размещенный на Discord. Загрузчик отвечает за запуск следующего этапа – модуля инжектора, который в свою очередь запускает загрузчик для развертывания бэкдора.
Бэкдор, являющийся основным компонентом вредоносного ПО, предназначен для обеспечения постоянства на зараженном устройстве и связи с C2-сервером с использованием протокола MQTT для получения дополнительных полезных нагрузок. В IBM отметили, что переход WailingCrab с Discord на использование протокола MQTT свидетельствует о сосредоточении усилий на скрытности и уклонении от обнаружения. Кроме того, новые варианты WailingCrab исключают вызовы к Discord для получения полезных нагрузок, что еще больше увеличивает его скрытность.
Discord, ставший популярным выбором для хакеров, планирует перейти на временные ссылки для файлов к концу года, чтобы противостоять злоупотреблениям своей сетью доставки контента (Content Delivery Network, CDN) для распространения вредоносного ПО.