IBM X-Force revela una vasta red de malware WailingCrab
Los investigadores de seguridad de IBM X-Force llevaron a cabo una investigación en profundidad sobre un software malicioso conocido como Cangrejo llorón. Este malware explota el protocolo de mensajería MQTT, comúnmente utilizado por los dispositivos de Internet de las cosas (IoT), para infiltrarse y comprometer los sistemas.
Ampliando el alcance de WailingCrab
El estudio exhaustivo reveló 24 indicadores de compromiso (IoC), que incluían dominios y URL utilizados por el malware para actividades maliciosas. La investigación no se detuvo allí; profundizó en las raíces de estos dominios y URL. Se realizó una búsqueda masiva de WHOIS para los dominios identificados, un proceso que recupera información del propietario del dominio. Este proceso condujo al descubrimiento de 94 direcciones de correo electrónico únicas vinculadas a registros de dominio históricos.
Desenmascarar la infraestructura
Para limitar el análisis, la investigación se centró en seis direcciones de correo electrónico actualmente vinculadas a dominios y no enmascaradas por servicios de privacidad. Estas direcciones de correo electrónico estaban vinculadas a 26 dominios adicionales. Curiosamente, una búsqueda masiva de capturas de pantalla de estos dominios indicó que sólo dos eran sitios web en funcionamiento, mientras que el resto causaba errores o simplemente eran dominios estacionados.
Siguió una serie de búsquedas de DNS, que dieron como resultado 17 direcciones IP únicas. Las búsquedas de geolocalización de IP revelaron más tarde que estas IP estaban distribuidas en varios países, lo que indica una operación global. Las búsquedas inversas de IP sugirieron que se podrían dedicar nueve IP y albergar una cantidad significativa de dominios. También se observó que algunos dominios contenían marcas como Amazon y Zoom, aunque ninguno estaba vinculado oficialmente a estas empresas.
Desentrañando la red WailingCrab
Los investigadores buscaron además otros dominios y subdominios con cadenas de texto similares a las que se encuentran en los IoC. Esto llevó a la identificación de 3547 artefactos potencialmente conectados, que incluían 12 direcciones IP asociadas con 23 amenazas conocidas. Este descubrimiento ofrece una imagen más detallada de la vasta red asociada con el malware WailingCrab.
La importancia de esta investigación radica en su contribución a la ciberseguridad. Al descubrir la vasta red de dominios y direcciones IP potencialmente asociadas con el malware WailingCrab, nos brinda una mejor protección contra tales amenazas y resalta la importancia de una vigilancia continua frente a la evolución de las amenazas cibernéticas.