Novo Carregador de Malware Distribuído por Meio de Campanhas de Malspam
Os pesquisadores de segurança detectaram uma nova variedade de malware circulando. A nova ameaça foi chamada de SquirrelWaffle e está sendo distribuída por meio de campanhas maliciosas de spam, usando documentos adulterados do Microsoft Office.
Os pesquisadores da empresa de segurança Cisco Talos identificaram a nova ameaça em setembro de 2021. O SquirrelWaffle é um carregador - um tipo de malware usado como uma espécie de veículo de entrega, entregando e implantando outro software malicioso no sistema visad0.
A campanha de malspam é interessante porque usa tópicos de e-mail sequestrados e, em seguida, os e-mails carregados de malware são enviados como respostas a esses tópicos, dando-lhes uma aparência mais confiável. Os pesquisadores da Cisco também identificaram semelhanças entre a campanha do SquirrelWaffle atual e as campanhas anteriores que foram usadas para espalhar o malware Emotet. A equipe do Talos também enviou uma palavra de alerta às empresas e corporações, citando o perigo crescente de infecção de redes corporativas.
Os e-mails de isca contêm links para arquivos compactados hospedados em sites controlados pelos hackers. Embora o inglês usado no texto do e-mail seja um tanto questionável, a Cisco também notou algum nível de adaptação das mensagens para corresponder ao idioma usado anteriormente no tópico do e-mail, o que significa que há algum nível de adaptação e engenharia social envolvida.
Os e-mails do SquirrelWaffle também são distribuídos em francês, alemão e polonês, o que significa que a campanha não tem como alvo apenas dados demográficos dos que falam inglês.
A Cisco tem monitorado os picos e quedas de atividades ativas e desativadas da campanha do SquirrelWaffle e afirmou que o novo malware não é tão amplamente distribuído quanto o Emotet, mas está lentamente chegando lá. O pico de distribuição do malspam SquirrelWaffle ocorreu no final de setembro, com mais três picos de atividade, uma vez que não tinha o mesmo grande volume.
Os arquivos usados no e-mail de phishing contêm arquivos do MS Office que, quando abertos, fornecem a carga final. Os arquivos são nomeados com nomes significativos e verossímeis, tais como "diagrama", "gráfico" ou "especificação" para aumentar ainda mais a confiança da vítima.