Nuovo programma di caricamento malware distribuito tramite campagne di spam
I ricercatori della sicurezza hanno individuato un nuovo ceppo di malware in circolazione. La nuova minaccia è soprannominata SquirrelWaffle e viene distribuita utilizzando campagne di spam dannose, utilizzando documenti di Microsoft Office falsificati.
I ricercatori della società di sicurezza Cisco Talos hanno individuato la nuova minaccia nel settembre 2021. SquirrelWaffle è un caricatore, un tipo di malware che viene utilizzato come una sorta di veicolo di consegna, rilasciando e distribuendo altri software dannosi sul sistema di destinazione.
La campagna di malspam è interessante perché utilizza thread di posta elettronica dirottati, quindi le e-mail cariche di malware vengono inviate come risposte a tali thread, conferendo loro un aspetto più credibile. I ricercatori di Cisco hanno anche individuato somiglianze tra l'attuale campagna SquirrelWaffle e le campagne precedenti utilizzate per diffondere il malware Emotet. Il team di Talos ha anche inviato un avvertimento ad aziende e società, citando un aumento del rischio di infezione delle reti aziendali.
Le e-mail di esca contengono collegamenti a file compressi ospitati su siti Web controllati dagli hacker. Anche se l'inglese utilizzato nel testo dell'e-mail è alquanto discutibile, Cisco ha anche notato un certo livello di personalizzazione dei messaggi in modo che corrispondano alla lingua utilizzata in precedenza nel thread dell'e-mail, il che significa che è coinvolto un certo livello di personalizzazione e ingegneria sociale.
Le e-mail di SquirrelWaffle sono distribuite anche in francese, tedesco e polacco, il che a sua volta significa che la campagna non si rivolge solo ai dati demografici di lingua inglese.
Cisco ha monitorato i picchi e le interruzioni dell'attività di accensione e spegnimento della campagna SquirrelWaffle e ha affermato che il nuovo malware non è così ampiamente distribuito come Emotet, ma sta lentamente arrivando. Il picco di SquirrelWaffle nella distribuzione di malspam si è verificato alla fine di settembre, con altri tre picchi di attività poiché non aveva lo stesso grande volume.
I file di archivio utilizzati nell'e-mail di phishing contengono file di MS Office che, una volta aperti, forniscono il payload finale. I file sono denominati con nomi significativi e credibili come "diagramma", "grafico" o "specifiche" per rafforzare ulteriormente la fiducia della vittima.