Il malware WailingCrab, ben noto in Italia a causa dei numerosi attacchi ad entità del nostro paese, ha sviluppato una nuova e temibile strategia per diffondersi online.
A scoprire ciò sono stati i ricercatori di IBM X-Force che, analizzando l’evoluzione dell’agente malevolo, hanno notato una mutazione nei suoi meccanismi di comunicazione C2. In questo contesto, ha destato un certo scalpore l’abuso del protocollo di messaggistica MQTT, adottato nel contesto dell’Internet-of-Things (IoT).
WailingCrab, conosciuto per l’attenzione con cui viene curato e sviluppato dai suoi creatori, è stato individuato a dicembre 2022. Da allora, tale malware è stato utilizzato più volte per diffondere la backdoor Gozi, proprio nel contesto italiano.
L’attuale campagna sembra sfruttare e-mail che riguardano consegne di pacchi o fantomatiche fatture. Una volta installata la backdoor sul dispositivo della vittima, WailingCrab ha dimostrato di comunicare con chi gestisce la campagna proprio attraverso il protocollo MQTT. Questo particolare metodo di scambio dati presenta un’architettura particolare, con messaggi pubblicati per “argomenti” e gestiti da un broker centralizzato.
WailingCrab è un malware modulare: ecco perché è così efficace
L’uso di MQTT ha sorpreso, e non poco, gli esperti di sicurezza. Questo tipo di utilizzo, infatti, è estremamente raro nel contesto malware. In tal senso, l’unico caso di rilievo è riconducibile a un’operazione del gruppo Mustang Panda.
A rendere ancora più insidioso WailingCrab è la sua stessa struttura. Il malware, infatti, è suddiviso in diversi componenti modulari, ovvero:
- backdoor
- downloader
- injector
- loader.
Al fine di rendere più efficace le sue campagne, questo agente malevolo sfrutta piattaforme come Discord per ospitare i propri payload e, allo stesso tempo, ridurre il rischio di essere individuato.
Così come per altri pericoli simili, anche in questo caso la prevenzione è fondamentale. Evitare e-mail e allegati di dubbia provenienza, così come adottare un antivirus affidabile, può essere un ottimo modo per evitare incontri spiacevoli con malware di questo tipo.