Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri

Yeni WailingCrab Kötü Amaçlı Yazılım Yükleyicisi Nakliye Temalı E-postalar Yoluyla Yayılıyor - Dünyadan Güncel Teknoloji Haberleri
alternatif bir yaklaşım ”

“Discord, kötü amaçlı yazılım barındırmak isteyen tehdit aktörleri için giderek daha yaygın bir tercih haline geldi ve bu nedenle, alan adından indirilen dosyaların daha yüksek düzeyde incelemeye tabi tutulması muhtemeldir 2023’ün ortasından bu yana kötü amaçlı yazılımda yapılan bir diğer dikkate değer değişiklik, MQTTC2 için küçük sensörler ve mobil cihazlara yönelik hafif bir mesajlaşma protokolü “WailingCrab’in daha yeni çeşitleri aynı zamanda yüklerin alınması için Discord’a yapılan çağrıları da kaldırarak gizliliğini daha da artırıyor

“Ancak, WailingCrab’in en son sürümü zaten AES ile şifrelenmiş arka kapı bileşenini içeriyor ve bunun yerine arka kapının şifresini çözmek için bir şifre çözme anahtarı indirmek üzere C2’sine ulaşıyor AğlayanYengeç

Dahası, kötü amaçlı yazılımın bileşenleri Discord gibi iyi bilinen platformlarda depolanıyor

Üstelik, arka kapının daha yeni varyantları, Discord tabanlı indirme yolundan kaçınarak, MQTT aracılığıyla doğrudan C2’den gelen kabuk kodu tabanlı bir veri yükünü tercih ediyor Bu nedenle, WailingCrab geliştiricilerinin bu kararı vermesi şaşırtıcı değil

Kötü amaçlı yazılım, Bambu Örümceği ve Zeus Panda olarak da takip edilen TA544 olarak bilinen bir tehdit aktörünün eseridir Tespit şansını daha da azaltmak amacıyla, ilk komuta ve kontrol (C2) iletişimleri için meşru, saldırıya uğramış web siteleri kullanılır ” Kat Metrick söz konusu Aralık 2022’nin sonlarında vahşi doğada görüldü



siber-2


23 Kasım 2023Haber odasıKötü Amaçlı Yazılım / Tehdit Analizi

Teslimat ve gönderim temalı e-posta mesajları, gelişmiş bir kötü amaçlı yazılım yükleyicisi sunmak için kullanılıyor

Saldırı zincirleri, tıklandığında Discord’da barındırılan WailingCrab yükleyicisini almak ve başlatmak için tasarlanmış bir JavaScript dosyasını indiren URL’ler içeren PDF ekleri içeren e-postalarla başlıyor

WikiLoader olarak da adlandırılan WailingCrab, ilk olarak Ağustos 2023’te Proofpoint tarafından belgelendi ve sonuçta Ursnif (diğer adıyla Gozi) truva atını dağıtmak için kötü amaçlı yazılım kullanan İtalyan kuruluşlarını hedef alan kampanyaların ayrıntıları verildi ”

Discord’un içerik dağıtım ağının (CDN) kötü amaçlı yazılım dağıtmak amacıyla kötüye kullanılması, sosyal medya şirketinin dikkatinden kaçmadı

IBM X-Force araştırmacıları Charlotte Hammond, Ole Villadsen ve “Kötü amaçlı yazılımın kendisi bir yükleyici, enjektör, indirici ve arka kapı dahil olmak üzere birçok bileşene bölünmüş durumda ve C2 kontrollü sunuculara yapılan başarılı istekler genellikle bir sonraki aşamaya geçmek için gerekli

Araştırmacılar, “WailingCrab’in MQTT protokolünü kullanmaya başlaması, gizlilik ve tespitten kaçınmaya odaklanmış bir çabayı temsil ediyor” sonucuna vardı

Protokol, geçmişte Tizi ve MQsTTang vakasında görüldüğü gibi, yalnızca birkaç durumda kullanıldığı için tehdit ortamında nadir görülen bir şeydir söylenmiş Bleeping Computer bu ayın başlarında yıl sonuna kadar geçici dosya bağlantılarına geçeceğini söyledi

Araştırmacılar, “Önceki sürümlerde bu bileşen, Discord CDN’sinde ek olarak barındırılacak olan arka kapıyı indiriyordu” dedi IBM X-Force, kümeye Hive0133 adını verdi

Operatörleri tarafından aktif olarak bakımı yapılan kötü amaçlı yazılımın, gizliliği ön planda tutan ve analiz çabalarına direnmesine olanak tanıyan özellikler içerdiği gözlemlendi

Yükleyici, bir sonraki aşamadaki kabuk kodunun (enjektör modülü) başlatılmasından sorumludur ve bu modül, sonuçta arka kapıyı dağıtmak için indiricinin yürütülmesini başlatır ”

Kötü amaçlı yazılımın çekirdeği görevi gören arka kapı, virüslü ana bilgisayarda kalıcılık oluşturmak ve ek yükler almak için MQTT protokolünü kullanarak C2 sunucusuyla iletişim kurmak için tasarlanmıştır