En ny malware-loader med potentiale til at blive "den næste store ting" i spam-operationer er blevet opdaget. Døbt SquirrelWaffle, truslen er "mal-spamming" af ondsindede Microsoft Office-dokumenter. Kampagnens endemål er at levere det velkendte Qakbot malware, Så godt som Cobalt Strike. Disse er to af de mest almindelige syndere, der bruges til at målrette mod organisationer over hele verden.
SquirrelWaffle Malware: En ny trussel mod organisationer
Ifølge Cisco Talos-forskere Edmund Brumaghin, Mariano Graziano og Nick Mavis, "SquirrelWaffle giver trusselsaktører et indledende fodfæste på systemer og deres netværksmiljøer." Dette fodfæste kan senere bruges til at lette yderligere kompromis- og malwareinfektioner, afhængigt af hackernes præferencer for indtægtsgenerering.
"Organisationer bør være opmærksomme på denne trussel, da det sandsynligvis vil fortsætte på tværs af trusselslandskabet i en overskuelig fremtid,”Siger forskerne. En tidligere trussel af samme kaliber er Emmott, som har plaget organisationer i årevis. Siden Emotets operationer blev forstyrret af retshåndhævelse, sikkerhedsforskere har ventet på, at en ny spiller skulle rejse sig. Og det har den.
Ifølge rapporten, begynder i midten af september 2021, Cisco Talos-teamet, observerede malspam-kampagner, der leverer ondsindede Microsoft Office-dokumenter, der starter infektionsprocessen med SquirrelWaffle. "Ligesom hvad der er blevet observeret i tidligere trusler som Emotet, disse kampagner ser ud til at udnytte stjålne e-mail-tråde, da e-mails selv ser ud til at være svar på eksisterende e-mail-tråde,”Bemærkede rapporten. Disse e-mails indeholder typisk hyperlinks til ondsindede ZIP-arkiver, hostet på hacker-kontrollerede webservere, som det ses i mange andre lignende kampagner.
Hvad er specifikt ved SquirrelWaffle e-mail-spam?
Det sprog, svarmeddelelserne målretter mod, matcher typisk det sprog, der blev brugt i den originale e-mail-tråd, viser, at der er en vis lokalisering, der foregår dynamisk. Mens størstedelen af e-mails var skrevet på engelsk, brugen af andre sprog på tværs af disse kampagner fremhæver, at denne trussel ikke er begrænset til et specifikt geografisk område.
Andre sprog, der bruges af mal-spam-operatørerne, omfatter fransk, tysk, hollandsk, og polsk.
Cisco Talos har observeret konstant aktivitet forbundet med SquirrelWaffle, hvilket betyder, at mængden af spam kan stige over tid, samt størrelsen af botnettet.
Med hensyn til infektionsprocessen, offeret sendes til et ZIP-arkiv via et hyperlink, der indeholder et ondsindet Office-dokument. De fleste dokumenter er enten Microsoft Word eller Microsoft Excel, alle indeholder den ondsindede kode, der henter den næste fase-komponent, eller SquirrelWaffle nyttelasten.
"Organisationer bør fortsætte med at anvende omfattende forsvars-dybdegående sikkerhedskontrol for at sikre, at de kan forhindre, opdage, eller reagere på SQUIRRELWAFFLE-kampagner, der kan optræde i deres miljøer," Cisco Talos konkluderede.
Mere om den nu døde Emotet malware
I august 2020, sikkerhedsforskere skabte en udnyttelse og efterfølgende en killswitch (kaldet EmoCrash) for at forhindre, at Emotet-malware spreder sig. Emotet er blevet beskrevet som en alt-i-en malware, der kunne programmeres af trusselsaktører til enten at downloade anden malware og stjæle filer, eller rekruttere de forurenede værter til botnet-netværket. Kendt siden i hvert fald 2014, malwaren var blevet brugt i utallige angreb mod både private mål og firma- og regeringsnetværk.
En af de sidste Emotet-tema-kampagner udnyttede Covid-19-krisen. Botnettet blev opdaget ved at sprede ondsindede filer, der er maskeret som dokumenter med videoinstruktioner om, hvordan man beskytter mod coronavirus. I stedet for at lære noget nyttigt, det potentielle offer ville få en computer infektion spænder fra trojanske heste til orme, ifølge telemetridata fra IBM X-Force og Kaspersky delte sidste år.