Se ha detectado un nuevo cargador de malware con el potencial de convertirse en "la próxima gran novedad" en las operaciones de spam.. Ardilla Apodada, la amenaza es el "envío no deseado" de documentos maliciosos de Microsoft Office. El objetivo final de la campaña es ofrecer los conocidos Malware Qakbot, al igual que huelga de cobalto. Estos son dos de los culpables más comunes utilizados para atacar organizaciones en todo el mundo..
SquirrelWaffle Malware: Una nueva amenaza para las organizaciones
Según los investigadores de Cisco Talos, Edmund Brumaghin, Mariano Graziano y Nick Mavis, "SquirrelWaffle proporciona a los actores de amenazas un punto de apoyo inicial en los sistemas y sus entornos de red". Este punto de apoyo se puede utilizar más tarde para facilitar un mayor compromiso e infecciones de malware., dependiendo de las preferencias de monetización de los piratas informáticos.
"Las organizaciones deben ser conscientes de esta amenaza, ya que probablemente persistirá en todo el panorama de amenazas en el futuro previsible,”Dijeron los investigadores. Una amenaza previa del mismo calibre es Emmott, que ha estado plagando organizaciones durante años. Dado que las operaciones de Emotet fueron interrumpidas por la policía, los investigadores de seguridad han estado esperando que surja un nuevo jugador. Y tiene.
Según el informe, a partir de mediados de septiembre 2021, el equipo de Cisco Talos, campañas de malspam observadas que entregan documentos maliciosos de Microsoft Office que inician el proceso de infección con SquirrelWaffle. “Similar a lo que se ha observado en amenazas anteriores como Emotet, estas campañas parecen aprovechar los hilos de correo electrónico robados, ya que los correos electrónicos en sí mismos parecen ser respuestas a hilos de correo electrónico existentes,”Señaló el informe. Estos correos electrónicos suelen contener hipervínculos a archivos ZIP maliciosos., alojado en servidores web controlados por piratas informáticos, como se ve en muchas otras campañas similares.
¿Qué tiene de específico el correo no deseado de SquirrelWaffle??
El idioma al que se dirigen los mensajes de respuesta suele coincidir con el idioma utilizado en el hilo de correo electrónico original., demostrando que hay alguna localización que se lleva a cabo de forma dinámica. Si bien la mayoría de los correos electrónicos se escribieron en inglés, El uso de otros idiomas en estas campañas destaca que esta amenaza no se limita a una región geográfica específica..
Otros idiomas utilizados por los operadores de correo no deseado incluyen el francés., alemán, holandés, y polaco.
Cisco Talos ha observado una actividad constante asociada con SquirrelWaffle, lo que significa que el volumen de spam podría aumentar con el tiempo, así como el tamaño de la botnet.
En cuanto al proceso de infección, la víctima es enviada a un archivo ZIP a través de un hipervínculo que contiene un documento de Office malicioso. La mayoría de los documentos son de Microsoft Word o Microsoft Excel., todos contienen el código malicioso que recupera el componente de la siguiente etapa, o la carga útil de SquirrelWaffle.
“Las organizaciones deben seguir empleando controles de seguridad exhaustivos de defensa en profundidad para garantizar que puedan prevenir, detectar, o responder a las campañas SQUIRRELWAFFLE que puedan encontrarse en sus entornos," Cisco Talos llegó a la conclusión.
Más sobre el malware Emotet ahora muerto
En agosto 2020, los investigadores de seguridad crearon un exploit y posteriormente un killswitch (apodado EmoCrash) para evitar que el malware Emotet se propague. Emotet ha sido descrito como un malware todo en uno que podría ser programado por los actores de amenazas para descargar otro malware y robar archivos., o reclutar a los hosts contaminados en la red de botnets. Conocido desde al menos 2014, el malware se había utilizado en innumerables ataques contra objetivos privados y redes empresariales y gubernamentales.
Una de las últimas campañas temáticas de Emotet aprovechó la crisis del Covid-19. Se detectó que la botnet propagaba archivos maliciosos disfrazados de documentos con instrucciones en video sobre cómo protegerse contra el coronavirus.. En lugar de aprender algo útil, la víctima potencial podría tener una infección de ordenador que van desde troyanos gusanos, según los datos de telemetría de IBM X-Force y Kaspersky compartidos el año pasado.