Ein neuer Malware-Loader mit dem Potenzial, „das nächste große Ding“ im Spam-Betrieb zu werden, wurde entdeckt. Synchronisiertes EichhörnchenWaffel, die Bedrohung ist „mal-Spamming“ von bösartigen Microsoft Office-Dokumenten. Das Endziel der Kampagne ist es, das Bekannte zu liefern Qakbot-Malware, ebenso gut wie Cobalt Streik. Dies sind zwei der häufigsten Übeltäter, mit denen Organisationen weltweit ins Visier genommen werden.
EichhörnchenWaffle Malware: Eine neue Bedrohung für Unternehmen
Laut Cisco Talos-Forscher Edmund Brumaghin, Mariano Graziano und Nick Mavis, „SquirrelWaffle bietet Bedrohungsakteuren einen ersten Zugang zu Systemen und deren Netzwerkumgebungen.“ Dieser Halt kann später genutzt werden, um weitere Kompromittierungen und Malware-Infektionen zu erleichtern, abhängig von den Monetarisierungspräferenzen der Hacker.
„Organisationen sollten sich dieser Bedrohung bewusst sein“, da es wahrscheinlich auf absehbare Zeit in der gesamten Bedrohungslandschaft bestehen wird,“Sagten die Forscher. Eine frühere Bedrohung des gleichen Kalibers ist Emmott, was Organisationen seit Jahren plagt. Da der Emotet-Betrieb durch die Strafverfolgung unterbrochen wurde, Sicherheitsforscher haben auf einen neuen Spieler gewartet. Und es hat.
Laut Bericht, ab Mitte September 2021, das Cisco Talos-Team, beobachtet Malspam-Kampagnen, die bösartige Microsoft Office-Dokumente liefern, die den Infektionsprozess mit SquirrelWaffle einleiten. „Ähnlich wie bei früheren Bedrohungen wie Emotet, Diese Kampagnen scheinen gestohlene E-Mail-Threads zu nutzen, da die E-Mails selbst anscheinend Antworten auf bestehende E-Mail-Threads sind,”Stellte der Bericht fest. Diese E-Mails enthalten normalerweise Hyperlinks zu bösartigen ZIP-Archiven, gehostet auf von Hackern kontrollierten Webservern, wie in vielen anderen ähnlichen Kampagnen gesehen.
Was ist das Besondere am E-Mail-Spam von SquirrelWaffle??
Die Zielsprache der Antwortnachrichten entspricht normalerweise der Sprache, die im ursprünglichen E-Mail-Thread verwendet wurde, zeigt, dass eine gewisse Lokalisierung dynamisch stattfindet. Während die meisten E-Mails auf Englisch verfasst wurden, Die Verwendung anderer Sprachen in diesen Kampagnen zeigt, dass diese Bedrohung nicht auf eine bestimmte geografische Region beschränkt ist.
Andere Sprachen, die von den Mal-Spam-Betreibern verwendet werden, sind Französisch, Deutsche, niederländisch, und Polnisch.
Cisco Talos hat eine stetige Aktivität im Zusammenhang mit SquirrelWaffle beobachtet, Das bedeutet, dass das Spam-Volumen im Laufe der Zeit zunehmen könnte, sowie die Größe des Botnetzes.
In Bezug auf den Infektionsprozess, das Opfer wird über einen Hyperlink, der ein schädliches Office-Dokument enthält, an ein ZIP-Archiv gesendet. Die meisten Dokumente sind entweder Microsoft Word oder Microsoft Excel, alle enthalten den bösartigen Code, der die Komponente der nächsten Stufe abruft, oder die SquirrelWaffle-Nutzlast.
„Organisationen sollten weiterhin umfassende Sicherheitskontrollen in der Verteidigung einsetzen, um sicherzustellen, dass sie verhindern können, entdecken, oder auf SQUIRRELWAFFLE-Kampagnen reagieren, die in ihrer Umgebung auftreten können," Cisco Talos abgeschlossen.
Mehr über die inzwischen tote Emotet-Malware
Im August 2020, Sicherheitsforscher haben einen Exploit und anschließend einen Killswitch erstellt (EmoCrash genannt) um die Verbreitung der Emotet-Malware zu verhindern. Emotet wurde als All-in-One-Malware beschrieben, die von Bedrohungsakteuren programmiert werden könnte, um entweder andere Malware herunterzuladen oder Dateien zu stehlen, oder rekrutieren Sie die verseuchten Hosts in das Botnet-Netzwerk. Seit mindestens bekannt 2014, die Malware wurde bei unzähligen Angriffen sowohl gegen private Ziele als auch gegen Unternehmens- und Regierungsnetzwerke eingesetzt.
Eine der letzten Kampagnen zum Thema Emotet nutzte die Covid-19-Krise. Es wurde festgestellt, dass das Botnet bösartige Dateien verbreitete, die als Dokumente mit Videoanleitungen zum Schutz vor dem Coronavirus getarnt waren. Statt nützlich etwas zu lernen, die potenziellen Opfer würde eine Computer-Infektion von Trojanern Würmern hin, laut Telemetriedaten von IBM X-Force und Kaspersky, die letztes Jahr geteilt wurden.