Ένα νέο malware tool με το όνομα Squirrelwaffle έχει κάνει την εμφάνισή του και επιτρέπει στους εγκληματίες του κυβερνοχώρου να αποκτήσουν πρόσβαση σε συστήματα και να τα μολύνουν με πρόσθετο malware. Το Squirrelwaffle εξαπλώνεται μέσω spam εκστρατειών, που στοχεύουν στη μόλυνση των συστημάτων με το Qakbot malware και το penetration-testing tool Cobalt Strike.
Δείτε επίσης: Squid Game app με χιλιάδες λήψεις μόλυνε συσκευές με το Joker malware
Ανακαλύφθηκε από ερευνητές της Cisco Talos. Το Squirrelwaffle είναι ένα από τα εργαλεία που εμφανίστηκαν ως αντικαταστάτες του Emotet, λίγο μετά την “καταστροφή” του από τις αρχές επιβολής του νόμου.
Αυτή η νέα απειλή εμφανίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 και έγινε πιο έντονη στο τέλος αυτού του μήνα. Όπως είπαμε και προηγουμένως, διανέμεται κυρίως με spam εκστρατείες. Έχουν βρεθεί κακόβουλα emails στα αγγλικά, τα γαλλικά, τα γερμανικά, τα ολλανδικά και τα πολωνικά.
Τα spam emails περιέχουν συνδέσμους που οδηγούν σε κακόβουλα αρχεία ZIP, τα οποία φιλοξενούνται σε web servers που ελέγχονται από τους εισβολείς και συνήθως περιλαμβάνουν ένα κακόβουλο συνημμένο .doc ή .xls που εκτελεί malware-retrieving code, εάν ανοιχτεί.
Σε πολλά έγγραφα που είδαν οι ερευνητές της Talos, οι εγκληματίες χρησιμοποιούν την πλατφόρμα DocuSign, ως δόλωμα για να ξεγελάσουν τους παραλήπτες ώστε να ενεργοποιήσουν τις μακροεντολές στο MS Office suite.
Ο κώδικας αξιοποιεί το string reversal για obfuscation, γράφει ένα VBS script στο %PROGRAMDATA% και το εκτελεί.
Δείτε επίσης: Google: Hackers στοχεύουν YouTubers με cookie theft malware
Αυτή η ενέργεια ανακτά το Squirrelwaffle και το παραδίδει με τη μορφή DLL file στο παραβιασμένο σύστημα.
Στη συνέχεια, το Squirrelwaffle loader αναπτύσσει κακόβουλο λογισμικό όπως το Qakbot ή το penetration testing tool Cobalt Strike.
Το Cobalt Strike είναι ένα νόμιμο penetration testing εργαλείο, που έχει σχεδιαστεί ως attack framework για τη δοκιμή της υποδομής ενός οργανισμού, προκειμένου να ανακαλυφθούν κενά ασφαλείας και ευπάθειες.
Ωστόσο, cracked versions του Cobalt Strike χρησιμοποιούνται και από εγκληματίες του κυβερνοχώρου.
Το Squirrelwaffle διαθέτει επίσης IP blocklist για να αποφύγει τον εντοπισμό και την ανάλυση.
Δείτε επίσης: Κρατικοί hackers στοχεύουν παρόχους τηλεπικοινωνιών και IT εταιρείες
Όλες οι επικοινωνίες μεταξύ του Squirrelwaffle και της υποδομής C2 είναι κρυπτογραφημένες (XOR+Base64) και αποστέλλονται μέσω HTTP POST requests.
Οι ερευνητές της Cisco Talos συνιστούν σε όλους τους χρήστες και τους οργανισμούς να είναι ιδιαίτερα προσεκτικοί με τα emails που λαμβάνουν και να ενημερώνουν τακτικά τα συστήματά τους.
Πηγή: Bleeping Computer