Precaución: Malware WailingCrab Detectado en Correos Electrónicos

El malware es un tipo de software malicioso que tiene como objetivo dañar o comprometer los dispositivos, los datos o las redes de los usuarios. Existen muchos tipos de malware, como virus, troyanos, ransomware, spyware, adware, etc. Cada uno de ellos tiene sus propias características y formas de infectar y afectar a los sistemas.

Uno de los métodos más comunes que utilizan los ciberdelincuentes para distribuir el malware es el phishing, que consiste en enviar correos electrónicos falsos que suplantan la identidad de entidades legítimas, como empresas, bancos, organismos públicos, etc. Estos correos electrónicos suelen contener enlaces o archivos adjuntos que, al hacer clic o abrirlos, descargan e instalan el malware en el dispositivo del usuario.

Recientemente, se ha descubierto una nueva campaña de phishing que utiliza correos electrónicos con temática de envíos y entregas para propagar un cargador de malware avanzado llamado WailingCrab, también conocido como WikiLoader. Este malware es obra de un grupo de amenazas denominado TA544, que también se conoce como Bamboo Spider o Zeus Panda. 

Te podrá interesar leer:  Análisis de Malware con Wazuh

¿Qué es WailingCrab y cómo funciona?

WailingCrab es un malware que se compone de varios componentes, entre los que se encuentran un cargador, un inyector, un descargador y una puerta trasera. Cada uno de estos componentes tiene una función específica y requiere de comunicaciones exitosas con servidores controlados por los atacantes para obtener el siguiente componente.

El proceso de infección de WailingCrab comienza con un correo electrónico que simula ser de un servicio de entrega o de una empresa de transporte, como DHL, FedEx, UPS, etc. El correo electrónico contiene un archivo PDF adjunto que supuestamente tiene información sobre un envío pendiente o una factura. Sin embargo, al abrir el archivo PDF, se muestra un enlace que, al hacer clic, descarga un archivo JavaScript que se encarga de obtener y ejecutar el cargador de WailingCrab alojado en Discord.

El cargador de WailingCrab es el responsable de lanzar el código malicioso siguiente, que es un módulo inyector que, a su vez, inicia la ejecución de un descargador que se encarga de instalar la puerta trasera finalmente. “En versiones anteriores, este componente descargaría la puerta trasera, que estaría alojada como un archivo adjunto en el CDN de Discord”, explican los investigadores de IBM X-Force. “Sin embargo, la última versión de WailingCrab ya contiene el componente de la puerta trasera cifrado con AES, y en su lugar se comunica con su C2 para descargar una clave de descifrado para descifrar la puerta trasera”.

Te podrá interesar leer:  Desentrañando el Mundo de la Ciberseguridad C2

La puerta trasera es el componente principal del malware, que se encarga de establecer la persistencia en el dispositivo infectado y de contactar con el servidor C2 usando el protocolo MQTT, que es un protocolo ligero de mensajería para dispositivos pequeños y móviles. Este protocolo también le permite recibir cargas útiles adicionales. Además, las variantes más recientes de la puerta trasera prescinden de la ruta de descarga basada en Discord y optan por una carga útil basada en código malicioso directamente desde el C2 a través de MQTT.

¿Qué riesgos supone WailingCrab y cómo protegerse?

WailingCrab es un malware que representa una amenaza seria para la seguridad y la privacidad de los usuarios, ya que puede permitir a los atacantes acceder a sus dispositivos, robar sus datos, espiar sus actividades, instalar otros programas maliciosos, bloquear sus archivos, extorsionarlos, etc. Además, WailingCrab es un malware que se caracteriza por su sigilo y su resistencia al análisis, ya que utiliza sitios web legítimos y plataformas conocidas como Discord para sus comunicaciones iniciales con el C2, y el protocolo MQTT para sus comunicaciones posteriores.

Para protegerse de WailingCrab y de otros tipos de malware, se recomienda seguir una serie de buenas prácticas de seguridad, como las siguientes:

1. Mantener el sistema operativo, el navegador y las aplicaciones actualizados con los últimos parches de seguridad.
   
   
2. Instalar y activar un programa antivirus de confianza y mantenerlo actualizado con las últimas definiciones de virus.
   
   
3. Evitar abrir o descargar archivos adjuntos o enlaces de correos electrónicos sospechosos o no solicitados, especialmente si provienen de remitentes desconocidos o que no se esperan.
   
   
4. Verificar la identidad y la legitimidad de los remitentes de los correos electrónicos, comprobando su dirección, su firma, su ortografía, su diseño, etc.
   
   
5. Utilizar contraseñas seguras y únicas para cada cuenta o servicio, y cambiarlas periódicamente.
   
   
6. Activar la verificación en dos pasos o la autenticación multifactor cuando sea posible, para añadir una capa extra de seguridad a las cuentas.
   
   
7. Realizar copias de seguridad periódicas de los datos importantes, y almacenarlas en un lugar seguro y separado del dispositivo principal.
   
   
8. Desconfiar de las ofertas, las promociones, los premios, las alertas, las facturas, los envíos, etc. que parezcan demasiado buenos para ser verdad, o que soliciten información personal o financiera.
   
   
9. Educar y concienciar a los usuarios sobre los riesgos y las amenazas del ciberespacio, y sobre las medidas de prevención y protección que deben adoptar.

Te podrá interesar leer:  Concientización: Esencial en la Ciberseguridad de tu Empresa

WailingCrab es un nuevo malware que se propaga por correos electrónicos sobre envíos y que tiene como objetivo infectar los dispositivos de los usuarios para realizar acciones maliciosas. Se trata de un malware sofisticado y sigiloso que utiliza varios componentes y protocolos para evadir la detección y el análisis. Para evitar ser víctima de WailingCrab y de otros malware similares, es importante seguir una serie de buenas prácticas de seguridad que ayuden a mantener los dispositivos, los datos y las redes a salvo de los ciberdelincuentes.