Nowy moduł ładujący złośliwe oprogramowanie rozpowszechniany za pośrednictwem kampanii zawierających spam
Badacze bezpieczeństwa zauważyli nowy szczep złośliwego oprogramowania, który krąży. Nowe zagrożenie nosi nazwę SquirrelWaffle i jest rozpowszechniane za pomocą złośliwych kampanii spamowych, wykorzystujących przerobione dokumenty Microsoft Office.
Badacze z firmy zajmującej się bezpieczeństwem Cisco Talos wykryli nowe zagrożenie we wrześniu 2021 r. SquirrelWaffle to program ładujący – rodzaj złośliwego oprogramowania, które jest używane jako rodzaj środka transportowego, zrzucającego i wdrażającego inne złośliwe oprogramowanie w systemie docelowym.
Kampania złośliwego spamu jest interesująca, ponieważ wykorzystuje przejęte wątki e-mail, a następnie e-maile zawierające złośliwe oprogramowanie są wysyłane jako odpowiedzi na te wątki, nadając im bardziej wiarygodny wygląd. Badacze Cisco zauważyli również podobieństwa między obecną kampanią SquirrelWaffle a poprzednimi kampaniami, które były wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania Emotet. Zespół Talos wysłał również ostrzeżenie do firm i korporacji, powołując się na zwiększone niebezpieczeństwo infekcji sieci korporacyjnych.
Wiadomości e-mail z przynętą zawierają łącza do skompresowanych plików hostowanych na stronach internetowych kontrolowanych przez hakerów. Mimo że angielski używany w tekście wiadomości e-mail jest nieco wątpliwy, Cisco zauważyło również pewien poziom dostosowania wiadomości do języka używanego wcześniej w wątku e-mail, co oznacza, że w grę wchodzi pewien poziom dostosowania i socjotechniki.
E-maile SquirrelWaffle są również dystrybuowane po francusku, niemiecku i polsku, co z kolei oznacza, że kampania jest skierowana nie tylko do anglojęzycznej grupy demograficznej.
Cisco monitoruje szczyty i spadki aktywności w trakcie kampanii SquirrelWaffle i stwierdziło, że nowe złośliwe oprogramowanie nie jest tak szeroko rozpowszechnione jak Emotet, ale powoli się tam pojawia. Szczyt rozpowszechniania szkodliwego spamu SquirrelWaffle miał miejsce pod koniec września, z trzema kolejnymi skokami aktywności, ponieważ nie miał on tak dużego wolumenu.
Pliki archiwum użyte w wiadomości phishingowej zawierają pliki MS Office, które po otwarciu dostarczają ostateczną zawartość. Pliki są nazywane znaczącymi, wiarygodnymi nazwami, takimi jak „schemat”, „wykres” lub „specyfikacja”, aby jeszcze bardziej zwiększyć zaufanie ofiary.