Анализ нового загрузчика WailingCrab, также известного как WikiLoader,
WailingCrab обладает функциями по обходу анализа и состоит из нескольких компонентов, включая загрузчик, инжектор и бэкдор. Для последующих этапов атаки требуются запросы к C2, которые маскируются за взломанными веб-сайтами, а файлы компонентов хранятся на платформах, таких как Discord.
С начала 2023 года вредоносное ПО начало использовать протокол обмена сообщениями MQTT в качестве C2, что ранее было характерно только для Tizi и MQsTTang.
Атаки начинаются с электронных писем с вложениями в формате PDF и URL-адресами, по нажатию на которые происходит загрузка JavaScript-файла. Он предназначен для получения и запуска загрузчика WailingCrab, размещенного на Discord.
Загрузчик инициирует запуск модуля-инжектора, который в свою очередь запускает бэкдор для окончательной установки на компьютере жертвы. Последняя версия WailingCrab содержит зашифрованный бэкдор, который обращается к C2 для загрузки ключа расшифровки, предназначенного для установки постоянной связи с C2 по протоколу MQTT для получения дополнительных данных.
Новые варианты бэкдора отказываются от загрузки через Discord и используют шелл-код напрямую из C2 через MQTT. Исследователи полагают, что переход на протокол MQTT и отказ от Discord свидетельствует о попытке усилить скрытность и избежать обнаружения.
Администрация Discord намерена перейти на временные ссылки для файлов к концу года из-за злоупотребления сетью доставки контента Discord для распространения вредоносного ПО.
Ссылка скрыта от гостей
исследователями IBM X-Force. Этот загрузчик был обнаружен в августе 2023 года компанией Proofpoint в рамках изучения атак на итальянские организации, направленных на использование трояна Ursnif (Gozi). Вредоносное ПО связано с TA544, известным как Bamboo Spider и Zeus Panda, и было названо IBM X-Force как Hive0133.WailingCrab обладает функциями по обходу анализа и состоит из нескольких компонентов, включая загрузчик, инжектор и бэкдор. Для последующих этапов атаки требуются запросы к C2, которые маскируются за взломанными веб-сайтами, а файлы компонентов хранятся на платформах, таких как Discord.
С начала 2023 года вредоносное ПО начало использовать протокол обмена сообщениями MQTT в качестве C2, что ранее было характерно только для Tizi и MQsTTang.
Атаки начинаются с электронных писем с вложениями в формате PDF и URL-адресами, по нажатию на которые происходит загрузка JavaScript-файла. Он предназначен для получения и запуска загрузчика WailingCrab, размещенного на Discord.
Загрузчик инициирует запуск модуля-инжектора, который в свою очередь запускает бэкдор для окончательной установки на компьютере жертвы. Последняя версия WailingCrab содержит зашифрованный бэкдор, который обращается к C2 для загрузки ключа расшифровки, предназначенного для установки постоянной связи с C2 по протоколу MQTT для получения дополнительных данных.
Новые варианты бэкдора отказываются от загрузки через Discord и используют шелл-код напрямую из C2 через MQTT. Исследователи полагают, что переход на протокол MQTT и отказ от Discord свидетельствует о попытке усилить скрытность и избежать обнаружения.
Администрация Discord намерена перейти на временные ссылки для файлов к концу года из-за злоупотребления сетью доставки контента Discord для распространения вредоносного ПО.