Un nouveau chargeur de logiciels malveillants susceptible de devenir « la prochaine grande nouveauté » dans les opérations de spam a été détecté. Écureuil surnommé Gaufre, la menace est le « mal-spamming » de documents Microsoft Office malveillants. L'objectif final de la campagne est de livrer le bien connu Logiciel malveillant Qakbot, aussi bien que cobalt grève. Ce sont deux des coupables les plus couramment utilisés pour cibler des organisations dans le monde entier.
Malware ÉcureuilWaffle: Une nouvelle menace pour les organisations
Selon les chercheurs de Cisco Talos Edmund Brumaghin, Mariano Graziano et Nick Mavis, « SquirrelWaffle fournit aux acteurs de la menace un point de départ initial sur les systèmes et leurs environnements réseau. » Ce point d'ancrage peut ensuite être utilisé pour faciliter d'autres infections de compromis et de logiciels malveillants, selon les préférences de monétisation des pirates.
« Les organisations doivent être conscientes de cette menace, car il persistera probablement dans le paysage des menaces dans un avenir prévisible,» Les chercheurs. Une menace précédente du même calibre est Emmott, qui afflige les organisations depuis des années. Depuis que les opérations d'Emotet ont été perturbées par les forces de l'ordre, les chercheurs en sécurité attendaient l'arrivée d'un nouveau joueur. Et il a.
Selon le rapport, à partir de mi-septembre 2021, l'équipe Cisco Talos, observé des campagnes de spam délivrant des documents Microsoft Office malveillants qui initient le processus d'infection avec SquirrelWaffle. "Semblable à ce qui a été observé dans les menaces précédentes comme Emotet, ces campagnes semblent tirer parti de fils de discussion volés, car les e-mails eux-mêmes semblent être des réponses à des fils de discussion existants,»Le rapport note. Ces e-mails contiennent généralement des hyperliens vers des archives ZIP malveillantes, hébergé sur des serveurs Web contrôlés par des pirates, comme on le voit dans de nombreuses autres campagnes similaires.
Quelles sont les spécificités du spam par e-mail SquirrelWaffle?
La langue ciblée par les messages de réponse correspond généralement à la langue utilisée dans le fil de discussion d'origine, démontrant qu'il y a une certaine localisation qui se déroule de manière dynamique. Alors que la majorité des e-mails étaient rédigés en anglais, l'utilisation d'autres langues dans ces campagnes souligne que cette menace n'est pas limitée à une région géographique spécifique.
Les autres langues utilisées par les opérateurs de mal-spam incluent le français, allemand, néerlandais, et polonais.
Cisco Talos a observé une activité stable associée à SquirrelWaffle, ce qui signifie que le volume de spam pourrait augmenter avec le temps, ainsi que la taille du botnet.
En ce qui concerne le processus d'infection, la victime est envoyée vers une archive ZIP via un lien hypertexte qui contient un document Office malveillant. La plupart des documents sont soit Microsoft Word, soit Microsoft Excel, tous contenant le code malveillant qui récupère le composant de l'étape suivante, ou la charge utile SquirrelWaffle.
« Les organisations devraient continuer à utiliser des contrôles de sécurité complets de défense en profondeur pour s'assurer qu'elles peuvent empêcher, détecter, ou répondre aux campagnes SQUIRRELWAFFLE qui peuvent être rencontrées dans leurs environnements," Cisco Talos conclu.
En savoir plus sur le malware Emotet, désormais mort
En août 2020, les chercheurs en sécurité ont créé un exploit puis un killswitch (surnommé EmoCrash) pour empêcher la propagation du malware Emotet. Emotet a été décrit comme un logiciel malveillant tout-en-un qui pourrait être programmé par des acteurs malveillants pour télécharger d'autres logiciels malveillants et voler des fichiers., ou recruter les hôtes contaminés dans le réseau de botnet. Connu depuis au moins 2014, le malware a été utilisé dans d'innombrables attaques contre des cibles privées et des réseaux d'entreprises et de gouvernements.
Une des dernières campagnes sur le thème Emotet profité de la crise du Covid-19. Le botnet a été détecté diffusant des fichiers malveillants déguisés en documents avec des instructions vidéo sur la façon de se protéger contre le coronavirus. Au lieu de tout apprentissage utile, la victime potentielle obtiendrait une infection informatique allant de chevaux de Troie aux vers, selon les données de télémétrie d'IBM X-Force et Kaspersky partagées l'année dernière.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: