انتشار برنامج WailingCrab الضار الجديد عبر رسائل البريد الإلكتروني. يتم استخدام رسائل البريد الإلكتروني ذات الطابع البحري والشحن لتوصيل برنامج تحميل البرامج الضارة المعروف باسم WailingCrab.
وقال الباحثون في IBM X-Force Charlotte Hammond و Ole Villadsen و Kat Metrick: “يتم تقسيم البرنامج الضار نفسه إلى مكونات متعددة ، بما في ذلك المحمل ، والحاقن ، وبرنامج التنزيل ، والباب الخلفي ، وغالباً ما تكون الطلبات الناجحة إلى خوادم C2-المتحكم ضرورية لاسترداد المرحلة التالية”.
بماذا تم توثيق WailingCrab.
تم توثيق WailingCrab ، المسمى أيضًا WikiLoader ، لأول مرة بواسطة Proofpoint في أغسطس 2023 ، حيث تفصيل الحملات التي تستهدف المنظمات الإيطالية التي استخدمت البرامج الضارة لنشر حصان طروادة Ursnif (المعروف أيضًا باسم Gozi) في النهاية. تم رصده في البرية في أواخر ديسمبر 2022.
البرنامج الضار هو عمل الجهة الفاعلة في مجال التهديد المعروفة باسم TA544 ، والتي يتم تتبعها أيضًا باسم Bamboo Spider و Zeus Panda. أطلقت IBM X-Force على المجموعة اسم Hive0133.
قام مشغلوها بصيانة البرنامج الضار بنشاط ، وقد لوحظ أن البرنامج الضار يدمج ميزات تعطي الأولوية للخفاء وتسمح له بمقاومة جهود التحليل. لخفض فرص الاكتشاف بشكل أكبر ، يتم استخدام مواقع الويب المخترقة والمشروعة للتواصل الأولي للقيادة والسيطرة (C2).
علاوة على ذلك ، يتم تخزين مكونات البرنامج الضار على منصات معروفة مثل Discord. هناك تغيير ملحوظ آخر في البرنامج الضار منذ منتصف عام 2023 هو استخدام MQTT ، وهو بروتوكول مراسلة خفيف الوزن لأجهزة الاستشعار الصغيرة والأجهزة المحمولة ، من أجل C2.
البروتوكول هو نوع من الندرة في مشهد التهديدات ، حيث تم استخدامه في عدد قليل من الحالات ، كما لوحظ في حالة Tizi و MQsTTang في الماضي.
تبدأ سلاسل الهجوم برسائل بريد إلكتروني تحتوي على مرفقات PDF تحتوي على عناوين URL ، وعند النقر عليها ، يتم تنزيل ملف JavaScript المصمم لاسترداد وإطلاق محمل WailingCrab المستضاف على Discord.
المحمل مسؤول عن إطلاق شفرة الهيكل التالي ، وهي وحدة حقن ، والتي تقوم بدورها ببدء تشغيل تنفيذ برنامج تحميل لنشر الباب الخلفي في النهاية.
وتحدث الباحثون:
“في الإصدارات السابقة ، كان هذا المكون يقوم بتنزيل الباب الخلفي ، والذي سيتم استضافته كملحق على CDN Discord”.
ومع ذلك. تحتوي أحدث إصدارات WailingCrab بالفعل على مكون الباب الخلفي المشفر باستخدام AES. وتتواصل بدلاً من ذلك مع C2 لتنزيل مفتاح فك التشفير لفك تشفير الباب الخلفي.
يعمل الباب الخلفي. الذي يعمل كجوهر البرنامج الضار. على إنشاء ثبات على المضيف المصاب والاتصال بخادم C2 باستخدام بروتوكول MQTT لتلقي حمولات إضافية.
علاوة على ذلك. تتجنب المتغيرات الأحدث للباب الخلفي مسار التنزيل القائم على Discord لصالح حمولة قائمة على شفرة الهيكل مباشرة من C2 عبر MQTT.
وخلص الباحثون إلى أن “انتقال WailingCrab إلى استخدام بروتوكول MQTT يمثل جهدًا متمركزًا على الخفاء وتجنب الاكتشاف”.
تقوم الإصدارات الأحدث من WailingCrab أيضًا بإزالة عمليات الاستدعاء إلى Discord لاسترداد الحمولات. مما يزيد من خفائها.
أصبحت Discord خيارًا شائعًا بشكل متزايد للجهات الفاعلة في مجال التهديدات التي تبحث عن استضافة البرامج الضارة. ومن المحتمل أن تبدأ عمليات تنزيل الملفات من المجال في تلقي مستويات أعلى من التدقيق. لذلك. ليس من المستغرب أن يقرر مطورو WailingCrab نهجًا بديلاً.
لم يمر إساءة استخدام شبكة توصيل المحتوى (CDN) الخاصة بـ Discord لتوزيع البرامج الضارة دون أن يلاحظها أحد من قبل شركة الوسائط الاجتماعية. والتي أخبرت Bleeping Computer في وقت سابق من هذا الشهر أنها ستتحول إلى روابط الملفات المؤقتة بحلول نهاية العام.
ماذا يمكن للمهاجمين عمله.
يمكن للمهاجمين استخدام WailingCrab لنشر مجموعة متنوعة من البرامج الضارة. بما في ذلك حصان طروادة Ursnif. والذي يمكن استخدامه لسرقة بيانات اعتماد المستخدمين وتسجيل الأنشطة على الجهاز المصاب.
انتشار برنامج WailingCrab الضار الجديد عبر رسائل البريد الإلكتروني. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.