Alerte : le WailingCrab, un chargeur de logiciels malveillants se propage par e-mail

« Le logiciel malveillant lui-même est divisé en plusieurs composants, dont un chargeur, un injecteur, un téléchargeur et une porte dérobée, et des requêtes réussies à des serveurs contrôlés par le C2 sont souvent nécessaires pour récupérer l’étape suivante », ont déclaré Charlotte Hammond, Ole Villadsen et Kat Metrick, chercheurs chez IBM X-Force.

WailingCrab, également appelé WikiLoader, a été documenté pour la première fois par Proofpoint en août 2023, détaillant des campagnes ciblant des organisations italiennes qui ont utilisé le logiciel malveillant pour déployer finalement le cheval de Troie Ursnif (alias Gozi). Il a été repéré dans la nature fin décembre 2022.

Le logiciel malveillant est l’œuvre d’un acteur de la menace connu sous le nom de TA544, qui est également suivi sous les noms de Bamboo Spider et Zeus Panda. IBM X-Force a baptisé le cluster Hive0133.

Maintenu activement par ses opérateurs, le logiciel malveillant a été observé en train d’incorporer des caractéristiques qui privilégient la furtivité et lui permettent de résister aux efforts d’analyse. Pour réduire encore les risques de détection, des sites web légitimes et piratés sont utilisés pour les communications initiales de commandement et de contrôle (C2).

De plus, les composants du logiciel malveillant sont stockés sur des plateformes bien connues telles que Discord. Un autre changement notable apporté au logiciel malveillant depuis la mi-2023 est l’utilisation de MQTT, un protocole de messagerie léger pour les petits capteurs et les appareils mobiles, pour les communications C2. Ce protocole est plutôt rare dans le paysage des menaces, car il n’est utilisé que dans quelques cas, comme on l’a vu dans le cas de Tizi et de MQsTTang par le passé. Les chaînes d’attaque commencent par des courriels contenant des pièces jointes au format PDF et des URL qui, lorsqu’elles sont cliquées, téléchargent un fichier JavaScript conçu pour récupérer et lancer le chargeur de WailingCrab hébergé sur Discord. Le chargeur est chargé de lancer le shellcode de l’étape suivante, un module injecteur qui, à son tour, lance l’exécution d’un téléchargeur pour déployer la porte dérobée. Dans les versions précédentes, ce composant téléchargeait la porte dérobée qui était hébergée en tant que pièce jointe sur le CDN de Discord », ont déclaré les chercheurs. Cependant, la dernière version de WailingCrab contient déjà une porte dérobée cryptée avec AES ; au lieu de cela, elle atteint son serveur C2 pour télécharger la clé de décryptage et décrypter la porte dérobée ». La porte dérobée, qui agit comme le cœur du logiciel malveillant, est conçue pour établir la persistance de l’hôte infecté et contacter le serveur C2 à l’aide du protocole MQTT afin de recevoir des charges utiles supplémentaires. En outre, les variantes les plus récentes évitent le chemin de téléchargement basé sur Discord et préfèrent une charge utile basée sur un shellcode provenant directement de C2 via MQTT. « L’utilisation du protocole MQTT par WailingCrab représente un effort ciblé pour échapper à la détection furtive », concluent les chercheurs. « Les variantes les plus récentes suppriment également les appels à Discord pour récupérer les charges utiles, ce qui accroît encore sa furtivité ». « Discord est devenu un choix de plus en plus courant pour les acteurs de la menace qui cherchent à héberger des logiciels malveillants ; il est donc probable que les téléchargements de fichiers à partir du domaine commenceront à faire l’objet d’un examen plus minutieux, ce qui n’est pas surprenant de la part des développeurs qui ont décidé d’adopter une autre approche ». L’utilisation abusive du réseau de diffusion de contenu (CDN) de Discord pour distribuer des logiciels malveillants n’est pas passée inaperçue auprès de l’entreprise de médias sociaux, qui a déclaré à Bleeping Computer au début du mois qu’elle supprimerait les liens de fichiers temporaires à la fin de l’année. Découvrez comment la modélisation automatisée du comportement de la réponse à la détection des applications peut révolutionner votre défense contre les menaces internes. Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale fonctionne si bien ? Décodons l’esprit du cyber-attaquant. Le site web de l’association a pour but de fournir des informations et des conseils sur l’utilisation de la technologie.