Malspam 캠페인을 통해 배포된 새로운 Malware Loader

보안 연구원들은 새로운 변종 악성코드를 발견했습니다. 새로운 위협은 SquirrelWaffle로 명명되었으며 조작된 Microsoft Office 문서를 사용하여 악성 스팸 캠페인을 통해 배포되고 있습니다.

보안 회사 Cisco Talos의 연구원들은 2021년 9월에 새로운 위협을 발견했습니다. SquirrelWaffle은 일종의 전달 수단으로 사용되는 맬웨어 유형으로, 대상 시스템에 다른 악성 소프트웨어를 떨어뜨리고 배포합니다.

malspam 캠페인은 하이재킹된 이메일 스레드를 사용하고 맬웨어가 포함된 이메일이 해당 스레드에 대한 회신으로 전송되어 더 신뢰할 수 있는 모양을 제공하기 때문에 흥미롭습니다. Cisco 연구원들은 또한 현재 SquirrelWaffle 캠페인과 Emotet 악성코드를 퍼뜨리는 데 사용된 이전 캠페인 사이의 유사점을 발견했습니다. Talos 팀은 또한 기업 네트워크의 감염 위험이 높아져 기업과 기업에 경고의 메시지를 보냈습니다.

미끼 이메일에는 해커가 제어하는 웹사이트에서 호스팅되는 압축 파일에 대한 링크가 포함되어 있습니다. 이메일 텍스트에 사용된 영어가 다소 의심스럽긴 하지만 Cisco는 또한 이메일 스레드에서 이전에 사용된 언어와 일치하도록 메시지를 어느 정도 맞춤화하는 데 주목했습니다.

SquirrelWaffle 이메일은 프랑스어, 독일어 및 폴란드어로도 배포되며, 이는 캠페인이 영어 사용 인구 통계만을 대상으로 하는 것이 아님을 의미합니다.

Cisco는 SquirrelWaffle 캠페인의 온/오프 활동 피크 및 드롭을 모니터링했으며 새로운 악성코드가 Emotet만큼 널리 배포되지는 않았지만 서서히 그 위치에 도달하고 있다고 밝혔습니다. SquirrelWaffle을 배포하는 악성 스팸의 정점은 9월 말에 발생했으며, 동일한 대용량이 아니었기 때문에 활동이 세 번 더 급증했습니다.

피싱 이메일에 사용된 아카이브 파일에는 열었을 때 최종 페이로드를 전달하는 MS Office 파일이 포함되어 있습니다. 파일 이름은 피해자의 신뢰를 더욱 강화하기 위해 "다이어그램", "차트" 또는 "사양"과 같이 의미 있고 믿을 수 있는 이름으로 지정됩니다.