È stato rilevato un nuovo caricatore di malware con il potenziale per diventare "la prossima grande novità" nelle operazioni di spam. Scoiattolo soprannominatoWaffle, la minaccia è "mal-spamming" di documenti di Microsoft Office dannosi. L'obiettivo finale della campagna è fornire il ben noto Malware Qakbot, così come Cobalt sciopero. Questi sono due dei colpevoli più comuni utilizzati per prendere di mira le organizzazioni in tutto il mondo.
SquirrelWaffle Malware: Una nuova minaccia per le organizzazioni
Secondo i ricercatori di Cisco Talos Edmund Brumaghin, Mariano Graziano e Nick Mavis, "SquirrelWaffle fornisce agli attori delle minacce un punto d'appoggio iniziale sui sistemi e sui loro ambienti di rete." Questo punto d'appoggio può essere successivamente utilizzato per facilitare ulteriori compromissioni e infezioni da malware, a seconda delle preferenze di monetizzazione degli hacker.
“Le organizzazioni dovrebbero essere consapevoli di questa minaccia, poiché probabilmente persisterà nel panorama delle minacce per il prossimo futuro,”I ricercatori hanno detto. Una precedente minaccia dello stesso calibro è Emmott, che affligge le organizzazioni da anni. Poiché le operazioni di Emotet sono state interrotte dalle forze dell'ordine, i ricercatori della sicurezza hanno aspettato l'ascesa di un nuovo giocatore. E ha.
Come da rapporto, a partire da metà settembre 2021, il team di Cisco Talos, osservate campagne di spam che forniscono documenti Microsoft Office dannosi che avviano il processo di infezione con SquirrelWaffle. “Simile a quanto osservato in precedenti minacce come Emotet, queste campagne sembrano sfruttare thread di posta elettronica rubati, poiché le e-mail stesse sembrano essere risposte a thread di e-mail esistenti,"Osserva il rapporto. Queste e-mail in genere contengono collegamenti ipertestuali ad archivi ZIP dannosi, ospitato su server web controllati da hacker, come visto in molte altre campagne simili.
Cosa c'è di specifico nello spam e-mail di SquirrelWaffle??
La lingua di destinazione dei messaggi di risposta in genere corrisponde alla lingua utilizzata nel thread di posta elettronica originale, dimostrando che c'è una localizzazione che avviene dinamicamente. Mentre la maggior parte delle e-mail sono state scritte in inglese, l'uso di altre lingue in queste campagne evidenzia che questa minaccia non è limitata a una specifica regione geografica.
Altre lingue utilizzate dagli operatori di mal-spam includono il francese, Tedesco, olandese, e polacco.
Cisco Talos ha osservato un'attività costante associata a SquirrelWaffle, il che significa che il volume dello spam potrebbe aumentare nel tempo, così come la dimensione della botnet.
In termini di processo di infezione, la vittima viene inviata a un archivio ZIP tramite un collegamento ipertestuale che contiene un documento di Office dannoso. La maggior parte dei documenti sono Microsoft Word o Microsoft Excel, tutti contenenti il codice dannoso che recupera il componente della fase successiva, o il payload SquirrelWaffle.
"Le organizzazioni dovrebbero continuare a utilizzare controlli di sicurezza completi e approfonditi per garantire che possano prevenire, individuare, o rispondere alle campagne SQUIRRELWAFFLE che possono essere incontrate nei loro ambienti," Cisco Talos concluso.
Maggiori informazioni sul malware Emotet ormai morto
In agosto 2020, i ricercatori della sicurezza hanno creato un exploit e successivamente un killswitch (soprannominato EmoCrash) per impedire la diffusione del malware Emotet. Emotet è stato descritto come un malware all-in-one che potrebbe essere programmato dagli attori delle minacce per scaricare altri malware e rubare file, o reclutare gli host contaminati nella rete botnet. Conosciuto almeno da 2014, il malware è stato utilizzato in innumerevoli attacchi contro obiettivi privati e reti aziendali e governative.
Una delle ultime campagne a tema Emotet ha approfittato dell'emergenza Covid-19. La botnet è stata rilevata mentre diffondeva file dannosi mascherati da documenti con istruzioni video su come proteggersi dal coronavirus. Invece di imparare qualcosa di utile, la potenziale vittima otterrebbe un'infezione del computer che vanno dai Trojan ai vermi, secondo i dati di telemetria di IBM X-Force e Kaspersky condivisi lo scorso anno.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: