Ny lastare för skadlig programvara distribueras genom malspamkampanjer

Säkerhetsforskare upptäckte en ny stam av skadlig programvara som gick runt. Det nya hotet kallas SquirrelWaffle och distribueras med skadliga skräppostkampanjer, med hjälp av manipulerade Microsoft Office-dokument.

Forskare med säkerhetsföretaget Cisco Talos upptäckte det nya hotet redan i september 2021. SquirrelWaffle är en loader - en typ av skadlig programvara som används som ett slags leveransfordon, släpper och distribuerar annan skadlig programvara på målsystemet.

Malspam-kampanjen är intressant eftersom den använder kapade e-posttrådar, och sedan skickas de malware-laddade e-postmeddelandena som svar på dessa trådar, vilket ger dem ett mer trovärdigt utseende. Cisco-forskare upptäckte också likheter mellan den aktuella SquirrelWaffle-kampanjen och tidigare kampanjer som användes för att sprida skadlig programvara Emotet. Talos-teamet skickade också ett varningsord till företag och företag, med hänvisning till en ökad risk för infektion av företagsnätverk.

Betesmejlen innehåller länkar till komprimerade filer som finns på webbplatser som kontrolleras av hackarna. Även om den engelska som används i e-posttexten är något tveksam, märkte Cisco också en viss nivå av att skräddarsy meddelandena för att matcha språket som tidigare använts i e-posttråden, vilket innebär att det finns en viss nivå av skräddarsydd och social ingenjörskonst.

E-postmeddelanden från SquirrelWaffle distribueras även på franska, tyska och polska, vilket i sin tur innebär att kampanjen inte bara riktar sig till engelsktalande demografi.

Cisco har övervakat på och av aktivitetstoppar och -fall i SquirrelWaffle-kampanjen och uppgav att den nya skadliga programvaran inte är lika utbredd som Emotet, men att den sakta når dit. Toppen av malspam som distribuerade SquirrelWaffle ägde rum i slutet av september, med ytterligare tre toppar i aktivitet eftersom den inte hade samma stora volym.

Arkivfilerna som används i nätfiskemeddelandet innehåller MS Office-filer som, när de öppnas, levererar den slutliga nyttolasten. Filerna är namngivna med meningsfulla, trovärdiga namn som "diagram", "diagram" eller "specifikation" för att ytterligare stärka offrets förtroende.