گسترش بدافزار WailingCrab از طریق ایمیل‌

گسترش بدافزار WailingCrab از طریق ایمیل‌

تاریخ ایجاد

اخیرا ایمیل‌هایی که در قالب تایید ارسال و تایید دریافت هستند، جهت گسترش یک Loader بدافزار به نام WailingCrab مورد استفاده قرار می‌گیرند. براساس تحقیقات صورت گرفته، خود بدافزار شامل اجزای مختلفی از جمله Loader، تزریق‌کننده دستور، دانلود‌کننده و backdoor می‌باشد. ارسال درخواست‌های موفقیت‌آمیز به سرورهای کنترل و فرمان C2(command-and-control) جهت اجرای مرحله بعدی حمله ضروری ‌است.
سرور C2 ابزار اصلی مهاجمان سایبری جهت راه‌اندازی و کنترل حملات می‌باشد. از C2 برای ارسال دستورات به بدافزار، توزیع برنامه‌ها، اسکریپت‌های مخرب و دیگر موارد استفاده می‌شود. بهره‌برداری فعال از این بدافزار که هم‌چنین با نام WikiLoader نیز شناخته می‌شود، برای اولین‌بار در دسامبر ۲۰۲۲ رصد شده‌بود. این بدافزار مخفی‌کاری را در اولویت کار خود قرار داده و در برابر اقدامات آنالیز و تحلیل مقاومت می‌کند. در راستای کاهش بیشتر شانس شناسایی، از وب‌سایت‌های قانونی و هک‌شده جهت ارتباطات اولیه کنترل و فرمان C2 استفاده می‌شود.
علاوه بر این، اجزای این بدافزار در پلتفرم‌های مشهوری مانند Discord ذخیره می‌شود. یکی از تغییرات قابل‌توجه آن، از اواسط سال 2023، استفاده از MQTT می‌باشد که یک پروتکل پیام‌رسانی جهت استفاده از C2 در سنسورهای کوچک و دستگاه‌های تلفن همراه است. این پروتکل تنها در موارد معدودی مورد استفاده قرار می گیرد. زنجیره‌های حمله با ایمیل‌های دارای پیوست‌های PDF شروع می‌شوند که این پیوست‌ها حاوی URLهایی هستند که با کلیک بر روی آن‌ها، یک فایل جاوا اسکریپت که جهت بازیابی و راه‌اندازی لودر WailingCra در Discord طراحی شده است، دانلود می‌شود.
Loader، مسئول اجرای یک ماژول تزریق دستور در مرحله بعد است که یک دانلودکننده را جهت استقرار backdoor فعال می‌سازد. در نسخه‌های قبلی، backdoor به عنوان یک پیوست در شبکه تحویل محتویDiscord  (Discord CDN) میزبانی می‌شد. با این حال، آخرین نسخه WailingCrab از قبل دارای مؤلفه backdoor رمزگذاری شده با AES است و در عوض به وسیله C2 یک کلید رمزگشایی را برای رمزگشایی backdoor دانلود می‌کند. backdoor، که به عنوان هسته بدافزار عمل می‌کند، جهت ایجاد پایداری در سیستم آلوده و برقراری ارتباط با سرور C2 با استفاده از پروتکل MQTT برای دریافت دستورات اضافی طراحی شده است. علاوه بر این، انواع جدیدتر backdoor بجای مسیر دانلود مبتنی بر Discord، از دستورات پوسته کد که به طور مستقیم از C2 به وسیله MQTT دریافت می‌شوند پیروی می‌کنند.
به گفته محققان: « اصراری که بر استفاده از پروتکل MQTT توسط WailingCrab وجود دارد نشان‌دهنده تلاش متمرکز بر پنهان‌کاری و فرار از تشخیص است. حتی در نسخه‌های جدیدتر، فراخوانی‌‌هایی که به discord وجود داشت (جهت بازیابی دستورات) را نیز حذف کرده‌اند که به اختفای بیشتر این بدافزار کمک می‌کند.»
Discord به یک انتخاب رایج برای مهاجمان سایبری که به دنبال میزبانی بدافزار هستند، تبدیل شده‌است و به همین دلیل این احتمال وجود دارد تا دانلود فایل از این پلتفرم تحت بررسی‌های دقیق‌تری قرار گیرد. بنابراین عجیب نیست که توسعه دهندگان WailingCrab به یک رویکرد جایگزین روی آورده‌اند.

توصیه‌های امنیتی
شرکت discord نیز به این موضوع بی‌توجه نبوده‌ و در ماه اخیر اذعان داشته است که: « Discord اواخر امسال به پیوندهای فایل موقت برای همه کاربران روی می‌آورد تا مانع از استفاده مهاجمان از سیستم تحویل محتوای آن شود.»

منبع خبر:


https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html?m=1