Er is een nieuwe malware-loader gedetecteerd die de potentie heeft om "the next big thing" te worden in spamoperaties. Nagesynchroniseerde EekhoornWafel, de dreiging is het "mal-spammen" van kwaadaardige Microsoft Office-documenten. Het einddoel van de campagne is het leveren van de bekende Qakbot-malware, net zoals Cobalt Strike. Dit zijn twee van de meest voorkomende boosdoeners die worden gebruikt voor het targeten van organisaties over de hele wereld.
EekhoornWafel Malware: Een nieuwe bedreiging voor organisaties
Volgens Cisco Talos-onderzoekers Edmund Brumaghin, Mariano Graziano en Nick Mavis, "SquirrelWaffle biedt dreigingsactoren een eerste houvast op systemen en hun netwerkomgevingen." Deze steun kan later worden gebruikt om verdere compromissen en malware-infecties te vergemakkelijken, afhankelijk van de voorkeuren voor het genereren van inkomsten van de hackers.
“Organisaties moeten zich bewust zijn van deze dreiging, aangezien het in de nabije toekomst waarschijnlijk zal blijven bestaan in het dreigingslandschap,”Aldus de onderzoekers. Een eerdere dreiging van hetzelfde kaliber is: Emmott, die organisaties al jaren teistert. Aangezien de activiteiten van Emotet werden verstoord door wetshandhavers, beveiligingsonderzoekers hebben gewacht op een nieuwe speler die opkomt. En het heeft.
Volgens het rapport, vanaf half september 2021, het Cisco Talos-team, waargenomen malspamcampagnes die kwaadaardige Microsoft Office-documenten leveren die het infectieproces met SquirrelWaffle initiëren. "Vergelijkbaar met wat is waargenomen bij eerdere bedreigingen zoals Emotet, deze campagnes lijken gebruik te maken van gestolen e-mailthreads, aangezien de e-mails zelf antwoorden lijken te zijn op bestaande e-mailthreads,'Merkte het rapport op. Deze e-mails bevatten doorgaans hyperlinks naar kwaadaardige ZIP-archieven, gehost op door hackers gecontroleerde webservers, zoals te zien in veel andere soortgelijke campagnes.
Wat is er specifiek aan de e-mailspam van SquirrelWaffle??
De taal waarop de antwoordberichten gericht zijn, komt meestal overeen met de taal die wordt gebruikt in de oorspronkelijke e-mailthread, wat aantoont dat er enige lokalisatie dynamisch plaatsvindt. Terwijl de meeste e-mails in het Engels waren geschreven, het gebruik van andere talen in deze campagnes laat zien dat deze dreiging niet beperkt is tot een specifieke geografische regio.
Andere talen die door de mal-spam-operators worden gebruikt, zijn onder meer Frans, Duits, Nederlands, en Pools.
Cisco Talos heeft gestage activiteit waargenomen in verband met SquirrelWaffle, wat betekent dat het volume van de spam in de loop van de tijd kan toenemen, evenals de grootte van het botnet.
In termen van het infectieproces, het slachtoffer wordt naar een ZIP-archief gestuurd via een hyperlink die een kwaadaardig Office-document bevat. De meeste documenten zijn ofwel Microsoft Word of Microsoft Excel, die allemaal de kwaadaardige code bevatten die de component van de volgende fase ophaalt, of de SquirrelWaffle-lading.
“Organisaties moeten doorgaan met het toepassen van uitgebreide, diepgaande beveiligingscontroles om ervoor te zorgen dat ze kunnen voorkomen dat, opsporen, of reageer op SQUIRRELWAFFLE-campagnes die in hun omgeving kunnen worden aangetroffen," Cisco Talos gesloten.
Meer over de nu dode Emotet-malware
In augustus 2020, beveiligingsonderzoekers creëerden een exploit en vervolgens een killswitch (genaamd EmoCrash) om te voorkomen dat de Emotet-malware zich verspreidt. Emotet is beschreven als een alles-in-één malware die door bedreigingsactoren kan worden geprogrammeerd om ofwel andere malware te downloaden en bestanden te stelen, of rekruteer de besmette hosts in het botnet-netwerk. Bekend sinds in ieder geval 2014, de malware was gebruikt bij talloze aanvallen op zowel particuliere doelen als bedrijfs- en overheidsnetwerken.
Een van de laatste campagnes met Emotet-thema profiteerde van de Covid-19-crisis. Het botnet werd gedetecteerd met het verspreiden van kwaadaardige bestanden vermomd als documenten met video-instructies over hoe te beschermen tegen het coronavirus. In plaats van iets nuttigs leren, het potentieel slachtoffer zou een computer infectie variërend van Trojaanse paarden naar wormen, volgens telemetriegegevens van IBM X-Force en Kaspersky die vorig jaar werden gedeeld.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: