اخیرا ایمیلهایی که در قالب تایید ارسال و تایید دریافت هستند، جهت گسترش یک Loader بدافزار به نام WailingCrab مورد استفاده قرار میگیرند. براساس تحقیقات صورت گرفته، خود بدافزار شامل اجزای مختلفی از جمله Loader، تزریقکننده دستور، دانلودکننده و backdoor میباشد. ارسال درخواستهای موفقیتآمیز به سرورهای کنترل و فرمان C2(command-and-control) جهت اجرای مرحله بعدی حمله ضروری است.
سرور C2 ابزار اصلی مهاجمان سایبری جهت راهاندازی و کنترل حملات میباشد. از C2 برای ارسال دستورات به بدافزار، توزیع برنامهها، اسکریپتهای مخرب و دیگر موارد استفاده میشود. بهرهبرداری فعال از این بدافزار که همچنین با نام WikiLoader نیز شناخته میشود، برای اولینبار در دسامبر ۲۰۲۲ رصد شدهبود. این بدافزار مخفیکاری را در اولویت کار خود قرار داده و در برابر اقدامات آنالیز و تحلیل مقاومت میکند. در راستای کاهش بیشتر شانس شناسایی، از وبسایتهای قانونی و هکشده جهت ارتباطات اولیه کنترل و فرمان C2 استفاده میشود.
علاوه بر این، اجزای این بدافزار در پلتفرمهای مشهوری مانند Discord ذخیره میشود. یکی از تغییرات قابلتوجه آن، از اواسط سال 2023، استفاده از MQTT میباشد که یک پروتکل پیامرسانی جهت استفاده از C2 در سنسورهای کوچک و دستگاههای تلفن همراه است. این پروتکل تنها در موارد معدودی مورد استفاده قرار می گیرد. زنجیرههای حمله با ایمیلهای دارای پیوستهای PDF شروع میشوند که این پیوستها حاوی URLهایی هستند که با کلیک بر روی آنها، یک فایل جاوا اسکریپت که جهت بازیابی و راهاندازی لودر WailingCra در Discord طراحی شده است، دانلود میشود.
Loader، مسئول اجرای یک ماژول تزریق دستور در مرحله بعد است که یک دانلودکننده را جهت استقرار backdoor فعال میسازد. در نسخههای قبلی، backdoor به عنوان یک پیوست در شبکه تحویل محتویDiscord (Discord CDN) میزبانی میشد. با این حال، آخرین نسخه WailingCrab از قبل دارای مؤلفه backdoor رمزگذاری شده با AES است و در عوض به وسیله C2 یک کلید رمزگشایی را برای رمزگشایی backdoor دانلود میکند. backdoor، که به عنوان هسته بدافزار عمل میکند، جهت ایجاد پایداری در سیستم آلوده و برقراری ارتباط با سرور C2 با استفاده از پروتکل MQTT برای دریافت دستورات اضافی طراحی شده است. علاوه بر این، انواع جدیدتر backdoor بجای مسیر دانلود مبتنی بر Discord، از دستورات پوسته کد که به طور مستقیم از C2 به وسیله MQTT دریافت میشوند پیروی میکنند.
به گفته محققان: « اصراری که بر استفاده از پروتکل MQTT توسط WailingCrab وجود دارد نشاندهنده تلاش متمرکز بر پنهانکاری و فرار از تشخیص است. حتی در نسخههای جدیدتر، فراخوانیهایی که به discord وجود داشت (جهت بازیابی دستورات) را نیز حذف کردهاند که به اختفای بیشتر این بدافزار کمک میکند.»
Discord به یک انتخاب رایج برای مهاجمان سایبری که به دنبال میزبانی بدافزار هستند، تبدیل شدهاست و به همین دلیل این احتمال وجود دارد تا دانلود فایل از این پلتفرم تحت بررسیهای دقیقتری قرار گیرد. بنابراین عجیب نیست که توسعه دهندگان WailingCrab به یک رویکرد جایگزین روی آوردهاند.
توصیههای امنیتی
شرکت discord نیز به این موضوع بیتوجه نبوده و در ماه اخیر اذعان داشته است که: « Discord اواخر امسال به پیوندهای فایل موقت برای همه کاربران روی میآورد تا مانع از استفاده مهاجمان از سیستم تحویل محتوای آن شود.»
منبع خبر:
https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html?m=1
- 51