Новости Новый бэкдор WailingCrab превращает вашу почту в оружие против вас

NewsMaker

I'm just a script
Премиум
13,884
20
8 Ноя 2022
История о том, как одно электронное письмо раскрывает шпионам всю вашу цифровую жизнь.


135dm9etd2wyuyjpki5e2cd3kuunm4ob.jpg


IBM X-Force выявила новый загрузчик вредоносного ПО, получивший название WailingCrab (WikiLoader). Для просмотра ссылки Войди или Зарегистрируйся 2023 года, вирус использовался для атак на итальянские организации с целью развертывания трояна Ursnif. За создание вредоносного ПО стоит хакерская группа TA544 (Bamboo Spider, Zeus Panda). IBM X-Force назвала эту группировку Hive0133.

Операторы WailingCrab постоянно обновляют вредоносное ПО, добавляя функции, обеспечивающие скрытность и затрудняющие анализ. Для снижения шансов обнаружения используются взломанные легитимные веб-сайты для первоначальной связи с сервером управления и контроля (Command and Control, C2 ). Также компоненты вредоносного ПО размещаются на Discord . С середины 2023 года в WailingCrab для связи с C2-сервером используется протокол обмена сообщениями MQTT, что является редкостью в мире киберугроз.

WailingCrab состоит из нескольких компонентов: загрузчика, инжектора, загрузчика и бэкдора. Атаки начинаются с электронных писем с PDF -вложениями, содержащими URL-адреса, при нажатии на которые загружается JavaScript -файл, запускающий загрузчик WailingCrab, размещенный на Discord. Загрузчик отвечает за запуск следующего этапа – модуля инжектора, который в свою очередь запускает загрузчик для развертывания бэкдора.

Бэкдор, являющийся основным компонентом вредоносного ПО, предназначен для обеспечения постоянства на зараженном устройстве и связи с C2-сервером с использованием протокола MQTT для получения дополнительных полезных нагрузок. В IBM отметили, что переход WailingCrab с Discord на использование протокола MQTT свидетельствует о сосредоточении усилий на скрытности и уклонении от обнаружения. Кроме того, новые варианты WailingCrab исключают вызовы к Discord для получения полезных нагрузок, что еще больше увеличивает его скрытность.

Discord, ставший популярным выбором для хакеров, Для просмотра ссылки Войди или Зарегистрируйся к концу года, чтобы противостоять злоупотреблениям своей сетью доставки контента (Content Delivery Network, CDN ) для распространения вредоносного ПО.
 
Источник новости
www.securitylab.ru

Похожие темы