Um novo carregador de malware com potencial para se tornar "a próxima grande novidade" em operações de spam foi detectado. Dublado SquirrelWaffle, a ameaça é “spamming” de documentos maliciosos do Microsoft Office. O objetivo final da campanha é entregar o conhecido Malware Qakbot, assim como Cobalt greve. Estes são dois dos culpados mais comuns usados para direcionar organizações em todo o mundo.
Malware SquirrelWaffle: Uma nova ameaça para as organizações
De acordo com os pesquisadores do Cisco Talos, Edmund Brumaghin, Mariano Graziano e Nick Mavis, “O SquirrelWaffle fornece aos agentes de ameaças uma posição inicial nos sistemas e em seus ambientes de rede.” Este ponto de apoio pode ser utilizado posteriormente para facilitar ainda mais o comprometimento e infecções por malware, dependendo das preferências de monetização dos hackers.
“As organizações devem estar cientes dessa ameaça, já que provavelmente persistirá em todo o cenário de ameaças em um futuro próximo,”Disseram os pesquisadores. Uma ameaça anterior do mesmo calibre é Emotet, que tem atormentado organizações por anos. Uma vez que as operações da Emotet foram interrompidas pela aplicação da lei, pesquisadores de segurança estão esperando que um novo jogador surja. E tem.
De acordo com o relatório, começando em meados de setembro 2021, a equipe Cisco Talos, observaram campanhas de spam entregando documentos maliciosos do Microsoft Office que iniciam o processo de infecção com SquirrelWaffle. “Semelhante ao que foi observado em ameaças anteriores, como Emotet, essas campanhas parecem estar aproveitando tópicos de e-mail roubados, já que os próprios e-mails parecem ser respostas a conversas de e-mail existentes,”O relatório observou. Esses e-mails geralmente contêm hiperlinks para arquivos ZIP maliciosos, hospedado em servidores da web controlados por hackers, como visto em muitas outras campanhas semelhantes.
O que é específico sobre o spam de e-mail SquirrelWaffle?
O idioma direcionado pelas mensagens de resposta geralmente corresponde ao idioma usado na conversa de e-mail original, demonstrando que há alguma localização ocorrendo dinamicamente. Embora a maioria dos e-mails tenha sido escrita em inglês, o uso de outros idiomas nessas campanhas destaca que essa ameaça não se limita a uma região geográfica específica.
Outros idiomas usados pelos operadores de mal-spam incluem o francês, alemão, holandês, e polonês.
Cisco Talos observou uma atividade constante associada ao SquirrelWaffle, o que significa que o volume do spam pode aumentar com o tempo, bem como o tamanho do botnet.
Em termos de processo de infecção, a vítima é enviada para um arquivo ZIP por meio de um hiperlink que contém um documento malicioso do Office. A maioria dos documentos são Microsoft Word ou Microsoft Excel, todos contendo o código malicioso que recupera o componente do próximo estágio, ou a carga útil SquirrelWaffle.
“As organizações devem continuar a empregar controles abrangentes de segurança de defesa em profundidade para garantir que possam prevenir, descobrir, ou responder a campanhas SQUIRRELWAFFLE que podem ser encontradas em seus ambientes,” Cisco Talos concluído.
Mais sobre o malware Emotet, agora morto
em agosto 2020, pesquisadores de segurança criaram um exploit e, posteriormente, um killswitch (apelidado de EmoCrash) para evitar que o malware Emotet se espalhe. O Emotet foi descrito como um malware completo que pode ser programado por agentes de ameaças para baixar outro malware e roubar arquivos, ou recrutar os hosts contaminados para a rede botnet. Conhecido desde pelo menos 2014, o malware foi usado em incontáveis ataques contra alvos privados e redes de empresas e governos.
Uma das últimas campanhas com o tema Emotet aproveitou a crise da Covid-19. O botnet foi detectado espalhando arquivos maliciosos mascarados como documentos com instruções em vídeo sobre como se proteger contra o coronavírus. Em vez de aprender alguma coisa útil, a vítima em potencial teria uma infecção de computador que vão desde Trojans para vermes, de acordo com dados de telemetria da IBM X-Force e Kaspersky compartilhados no ano passado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: