Malspam Kampanyaları Yoluyla Dağıtılan Yeni Kötü Amaçlı Yazılım Yükleyici

Güvenlik araştırmacıları, ortalıkta dolaşan yeni bir kötü amaçlı yazılım türü tespit etti. Yeni tehdit SquirrelWaffle olarak adlandırılıyor ve üzerinde değişiklik yapılmış Microsoft Office belgeleri kullanılarak kötü niyetli spam kampanyaları kullanılarak dağıtılıyor.

Güvenlik firması Cisco Talos'tan araştırmacılar, yeni tehdidi Eylül 2021'de fark ettiler. SquirrelWaffle bir yükleyicidir - bir tür dağıtım aracı olarak kullanılan, hedef sisteme diğer kötü amaçlı yazılımları bırakan ve dağıtan bir tür kötü amaçlı yazılımdır.

Kötü amaçlı spam kampanyası, ele geçirilmiş e-posta ileti dizilerini kullandığı için ilginçtir ve ardından kötü amaçlı yazılım yüklü e-postalar, bu ileti dizilerine yanıt olarak gönderilerek onlara daha güvenilir bir görünüm kazandırır. Cisco araştırmacıları ayrıca mevcut SquirrelWaffle kampanyası ile Emotet kötü amaçlı yazılımını yaymak için kullanılan önceki kampanyalar arasında benzerlikler tespit etti. Talos ekibi ayrıca, kurumsal ağların bulaşma riskinin arttığını öne sürerek işletmelere ve şirketlere bir uyarı mesajı gönderdi.

Yem e-postaları, bilgisayar korsanları tarafından kontrol edilen web sitelerinde barındırılan sıkıştırılmış dosyalara bağlantılar içerir. E-posta metninde kullanılan İngilizce biraz şüpheli olsa da, Cisco ayrıca mesajların e-posta dizisinde daha önce kullanılan dile uyacak şekilde bir dereceye kadar uyarlandığını fark etti, bu da belirli bir düzeyde uyarlama ve sosyal mühendislik olduğu anlamına geliyor.

SquirrelWaffle e-postaları ayrıca Fransızca, Almanca ve Lehçe olarak dağıtılır, bu da kampanyanın yalnızca İngilizce konuşan demografiyi hedeflemediği anlamına gelir.

Cisco, SquirrelWaffle kampanyasının açık ve kapalı etkinlik zirvelerini ve düşüşlerini izliyor ve yeni kötü amaçlı yazılımın Emotet kadar yaygın olarak dağıtılmadığını, ancak yavaş yavaş oraya ulaştığını belirtti. SquirrelWaffle'ı dağıtan kötü amaçlı spam'ın zirvesi, Eylül ayının sonlarında gerçekleşti ve aynı büyük hacme sahip olmadığı için etkinlikte üç artış daha oldu.

Kimlik avı e-postasında kullanılan arşiv dosyaları, açıldıklarında son yükü teslim eden MS Office dosyalarını içerir. Dosyalar, mağdurun güvenini daha da artırmak için "diyagram", "grafik" veya "şartname" gibi anlamlı, inandırıcı adlarla adlandırılır.