Αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου παράδοσης μπορεί να είναι κακόβουλο λογισμικό – ορίστε τι πρέπει να γνωρίζετε

Οι ειδικοί εντόπισαν μια νέα

καμπάνια

κακόβουλου λογισμικού που χρησιμοποιεί μηνύματα ηλεκτρονικού ψαρέματος με θέμα την παράδοση και την αποστολή για να μειώσει το ωφέλιμο φορτίο στα τελικά σημεία στόχου.

Σε ένα

κανω ΑΝΑΦΟΡΑ

, ερευνητές της IBM X-Force είπαν ότι χάκερ γνωστοί ως TA544 (AKA Bamboo

Spider

, Zeus Panda) έστελναν μηνύματα ηλεκτρονικού ψαρέματος που ισχυρίζονταν ότι προέρχονταν από παρόχους υπηρεσιών παράδοσης και συζητούσαν για

πληρωμές

σε εκκρεμότητα. Οι “λεπτομέρειες” θα αποστέλλονταν ως συνημμένο .PDF το οποίο, όταν ενεργοποιηθεί, θα κατέβαζε ένα αρχείο JavaScript, σκοπός του οποίου ήταν η λήψη και εκτέλεση του προγράμματος φόρτωσης WailingCrab που φιλοξενείται στο

Discord

.

Το WailingCrab είναι ένα πολύπλευρο κομμάτι κακόβουλου λογισμικού, είπαν: «Το ίδιο το κακόβουλο λογισμικό χωρίζεται σε πολλαπλά στοιχεία, συμπεριλαμβανομένου ενός loader, ενός injector, του downloader και του backdoor, και συχνά απαιτούνται επιτυχημένα αιτήματα σε διακομιστές που ελέγχονται από το C2 για την ανάκτηση του επόμενου σταδίου. Οι ερευνητές της IBM X-Force, Charlotte Hammond, Ole Villadsen και Kat Metrick, δήλωσαν στην έκθεση.

Πρωτόκολλο MQTT για stealth

Ο φορτωτής θα εκκινήσει μια ξεχωριστή μονάδα, η οποία στη συνέχεια θα κατεβάσει μια κερκόπορτα. “Σε προηγούμενες εκδόσεις, αυτό το στοιχείο θα κατέβαζε το backdoor, το οποίο θα φιλοξενούνταν ως συνημμένο στο Discord CDN”, είπαν οι ερευνητές. “Ωστόσο, η πιο πρόσφατη έκδοση του WailingCrab περιέχει ήδη το στοιχείο backdoor κρυπτογραφημένο με AES και αντ’ αυτού απευθύνεται στο C2 του για να κατεβάσει ένα κλειδί αποκρυπτογράφησης για να αποκρυπτογραφήσει την κερκόπορτα.”

Το backdoor καθορίζει την επιμονή και έρχεται σε

επα

φή με τον διακομιστή C2 μέσω του πρωτοκόλλου MQTT, το οποίο του επιτρέπει επίσης να λαμβάνει περισσότερα ωφέλιμα φορτία εάν χρειαστεί. Επιπλέον, οι νεότερες εκδόσεις απομακρύνονται από το Discord και μεταφέρονται σε ένα ωφέλιμο φορτίο που βασίζεται σε κώδικα κελύφους που λαμβάνεται απευθείας από το C2 μέσω MQTT.

«Η κίνηση προς τη χρήση του πρωτοκόλλου MQTT από τον WailingCrab αντιπροσωπεύει μια εστιασμένη προσπάθεια για τη μυστικότητα και την αποφυγή εντοπισμού», είπαν οι ειδικοί. “Οι νεότερες παραλλαγές του WailingCrab αφαιρούν επίσης τα μηνύματα στο Discord για την ανάκτηση ωφέλιμων φορτίων, αυξάνοντας περαιτέρω τη μυστικότητά του.”

Η Discord δήλωσε πρόσφατα ότι θα μετακινηθεί σε προσωρινούς συνδέσμους αρχείων μέχρι το τέλος του έτους, σε μια προσπάθεια να σταματήσει την κατάχρηση του δικτύου παράδοσης περιεχομένου της.

Μέσω



TheHackerNews