Ny Malware Loader distribueret gennem Malspam-kampagner
Sikkerhedsforskere opdagede en ny stamme af malware på vej. Den nye trussel kaldes SquirrelWaffle og bliver distribueret ved hjælp af ondsindede spamkampagner, ved hjælp af bearbejdede Microsoft Office-dokumenter.
Forskere med sikkerhedsfirmaet Cisco Talos opdagede den nye trussel tilbage i september 2021. SquirrelWaffle er en indlæser - en type malware, der bruges som en slags leveringskøretøj, der dropper og installerer anden ondsindet software på målsystemet.
Malspam-kampagnen er interessant, fordi den bruger kaprede e-mail-tråde, og så sendes de malware-ladede e-mails som svar på disse tråde, hvilket giver dem et mere troværdigt udseende. Cisco-forskere opdagede også ligheder mellem den nuværende SquirrelWaffle-kampagne og tidligere kampagner, der blev brugt til at sprede Emotet-malwaren. Talos-teamet sendte også en advarsel til virksomheder og virksomheder med henvisning til en øget risiko for infektion af virksomhedsnetværk.
Agn-e-mails indeholder links til komprimerede filer, der er hostet på websteder, der kontrolleres af hackerne. Selvom det engelske sprog, der bruges i e-mail-teksten, er noget tvivlsomt, bemærkede Cisco også en vis grad af skræddersyning af meddelelserne, så de matcher det sprog, der tidligere blev brugt i e-mail-tråden, hvilket betyder, at der er en vis grad af skræddersyn og social engineering involveret.
E-mails fra SquirrelWaffle distribueres også på fransk, tysk og polsk, hvilket igen betyder, at kampagnen ikke kun er rettet mod engelsktalende demografi.
Cisco har overvåget tænd- og sluk-aktivitetstoppene og -faldene i SquirrelWaffle-kampagnen og udtalte, at den nye malware ikke er så udbredt som Emotet, men den er langsomt ved at nå dertil. Toppen af malspam, der distribuerede SquirrelWaffle, fandt sted i slutningen af september, med yderligere tre stigninger i aktivitet, da det ikke havde samme store volumen.
Arkivfilerne, der bruges i phishing-e-mailen, indeholder MS Office-filer, der, når de åbnes, leverer den endelige nyttelast. Filerne er navngivet med meningsfulde, troværdige navne såsom "diagram", "diagram" eller "specifikation" for yderligere at styrke ofrets tillid.