Новый загрузчик вредоносных программ, распространяемый через кампании по борьбе со спамом

Исследователи в области безопасности обнаружили новую разновидность вредоносного ПО, которое набирает обороты. Новая угроза получила название SquirrelWaffle и распространяется с помощью вредоносных спам-кампаний с использованием подделанных документов Microsoft Office.

Исследователи из компании по безопасности Cisco Talos заметили новую угрозу еще в сентябре 2021 года. SquirrelWaffle - это загрузчик - тип вредоносного ПО, которое используется в качестве своего рода средства доставки, сбрасывая и развертывая другое вредоносное ПО в целевой системе.

Кампания по борьбе со спамом интересна тем, что в ней используются перехваченные цепочки писем, а затем электронные письма с вредоносным ПО отправляются в качестве ответов на эти цепочки, что придает им более достоверный вид. Исследователи Cisco также обнаружили сходство между текущей кампанией SquirrelWaffle и предыдущими кампаниями, которые использовались для распространения вредоносного ПО Emotet. Команда Talos также обратилась с предупреждением к компаниям и корпорациям, сославшись на возросшую опасность заражения корпоративных сетей.

Электронные письма-приманки содержат ссылки на сжатые файлы, размещенные на сайтах, контролируемых хакерами. Несмотря на то, что английский, используемый в тексте электронного письма, несколько сомнительный, Cisco также заметила некоторый уровень адаптации сообщений в соответствии с языком, который ранее использовался в цепочке писем, что означает, что существует определенный уровень адаптации и социальной инженерии.

Электронные письма SquirrelWaffle также распространяются на французском, немецком и польском языках, что, в свою очередь, означает, что кампания ориентирована не только на англоязычную демографию.

Cisco отслеживает периоды пиков и спадов активности в кампании SquirrelWaffle и заявила, что новое вредоносное ПО не так широко распространено, как Emotet, но постепенно набирает обороты. Пик распространения вредоносного спама SquirrelWaffle пришелся на конец сентября, когда активность увеличилась еще на три, поскольку объем продаж не был таким же большим.

Архивные файлы, используемые в фишинговом письме, содержат файлы MS Office, которые при открытии доставляют окончательную полезную нагрузку. Файлы имеют понятные и правдоподобные имена, такие как «диаграмма», «диаграмма» или «спецификация», чтобы еще больше укрепить доверие жертвы.