Các email có chủ đề về giao hàng và vận chuyển đang được sử dụng để gửi một malware tinh vi có tên là WailingCrab. “Bản thân malware được chia thành nhiều thành phần, bao gồm trình tải, trình tiêm, trình tải xuống và backdoor. Các yêu cầu thành công tới các máy chủ do C2 kiểm soát thường là cần thiết để truy xuất giai đoạn tiếp theo”, các nhà nghiên cứu Charlotte Hammond, Ole Villadsen của IBM X-Force và Kat Metrick nói.
WailingCrab, còn được gọi là WikiLoader, được Proofpoint ghi lại lần đầu tiên vào tháng 8 năm 2023, nêu chi tiết các chiến dịch nhắm mục tiêu vào các tổ chức Ý đã sử dụng phần mềm độc hại để triển khai trojan Ursnif (còn gọi là Gozi). Nó được phát hiện trong thực tế vào cuối tháng 12 năm 2022. Phần mềm độc hại này là tác phẩm của nhóm hacker có tên TA544, cũng được theo dõi dưới tên Bamboo Spider và Zeus Panda. IBM X-Force đã đặt tên cho cụm này là Hive0133.
Phần mềm độc hại này đã được quan sát thấy có tích hợp các tính năng ưu tiên tàng hình và cho phép nó chống lại các nỗ lực phân tích. Các thành phần của phần mềm độc hại được lưu trữ trên các nền tảng nổi tiếng như Discord. Một thay đổi đáng chú ý khác đối với malware kể từ giữa năm 2023 là việc sử dụng MQTT, một giao thức nhắn tin nhẹ dành cho các cảm biến nhỏ và thiết bị di động, dành cho C2. Giao thức này đã từng được sử dụng trong trường hợp của Tizi và MQsTTang trước đây.
Chuỗi tấn công bắt đầu bằng các email chứa tệp đính kèm PDF chứa các URL mà khi được nhấp vào sẽ tải xuống tệp JavaScript được thiết kế để truy xuất và khởi chạy trình tải WailingCrab được lưu trữ trên Discord. Trình tải chịu trách nhiệm khởi chạy shellcode giai đoạn tiếp theo, một mô-đun tiêm, lần lượt khởi động quá trình thực thi của trình tải xuống để triển khai backdoor.
Các nhà nghiên cứu cho biết: “Trong các phiên bản trước, thành phần này sẽ tải xuống backdoor, backdoor này sẽ được lưu trữ dưới dạng tệp đính kèm trên Discord CDN”. "Tuy nhiên, phiên bản mới nhất của WailingCrab đã chứa thành phần backdoor được mã hóa bằng AES và thay vào đó, nó tiếp cận C2 để tải xuống khóa giải mã nhằm giải mã backdoor."
Backdoor đóng vai trò là lõi của phần mềm độc hại, được thiết kế để thiết lập sự tồn tại trên máy chủ bị nhiễm malware và liên hệ với máy chủ C2 bằng giao thức MQTT để nhận thêm payload. Các biến thể mới hơn của backdoor tránh đường dẫn tải xuống dựa trên Discord mà chuyển sang payload dựa trên shellcode trực tiếp từ C2 thông qua MQTT.
Các nhà nghiên cứu kết luận: “Việc chuyển sang sử dụng giao thức MQTT của WailingCrab thể hiện nỗ lực tập trung vào việc tàng hình và trốn tránh bị phát hiện”. "Các biến thể mới hơn của WailingCrab cũng loại bỏ các chú thích tới Discord để truy xuất tải trọng, tăng thêm khả năng tàng hình của nó." "Discord đã trở thành một lựa chọn ngày càng phổ biến đối với những kẻ đe dọa muốn lưu trữ phần mềm độc hại và do đó, có khả năng việc tải tệp xuống từ miền sẽ bắt đầu được giám sát ở mức độ giám sát cao hơn. Do đó, không có gì ngạc nhiên khi các nhà phát triển của WailingCrab đã quyết định một cách tiếp cận khác."
Việc lạm dụng mạng phân phối nội dung (CDN) của Discord để phát tán phần mềm độc hại đã không bị công ty truyền thông xã hội chú ý. Công ty này đã thông báo với Bleeping Computer vào đầu tháng này rằng họ sẽ chuyển sang các liên kết tệp tạm thời vào cuối năm nay.