Notícias de dispositivos móveis, gadgets, aplicativos Android

Atores de ameaças usando o Squirrelwaffle Loader para implantar Qakbot & Malware Cobalt Strike

Uma nova ameaça surgiu recentemente e lança malware como Qakbot e Cobalt Strike em sistemas e redes negociadas; esta nova ameaça é apelidada de “Squirrelwaffle” e os agentes da ameaça estão espalhando ativamente o Squirrelwaffle por meio de várias campanhas de e-mail maliciosas.

Pouco depois da interrupção do botnet amplamente utilizado, o Emotet, pelas agências de aplicação da lei, o Squirrelwaffle surgiu como uma alternativa ao Emotet. Os primeiros sinais desta nova ameaça surgiram em setembro de 2021, e os volumes de distribuição atingiram o pico no final desse mês.

Campanhas de e-mail e idiomas usados

Além das campanhas de e-mail de cadeia de resposta roubada em inglês, os spammers também usam e-mails nos seguintes idiomas:-

De acordo com relatório “Um anexo malicioso .doc ou .xls normalmente é anexado a um e-mail que contém links para arquivos ZIP maliciosos hospedados em servidores da Web controlados por invasores e executa código de recuperação de malware ao ser aberto.”

Para enganar os destinatários para que habilitem as macros no MS Office Suite, os agentes de ameaças usam o DocuSign como isca.

Processo de ataque

Como parte do ataque, a reversão de string é usada para ofuscar o código, que então grava um script VBS no diretório %PROGRAMDATA% e o executa.

Uma vez feito isso, a partir de um dos cinco URLs codificados, ele busca o Squirrelwaffle no formato DLL para entregá-lo ao sistema ameaçado. Agora, aqui, neste ponto, se o Squirrelwaffle em formato DLL for entregue com sucesso no sistema da vítima, então usando rundll32.exe a DLL maliciosa será executada.

Depois de completar todas as etapas, o carregador Squirrelwaffle implanta malware como Qakbot e Cobalt Strike. Para tarefas pós-exploração após a implantação de beacons, os atores da ameaça usam as versões crackeadas do Cobalt Strike para obter acesso remoto aos dispositivos comprometidos.

Nós recomendamos:  WhatsApp, aqui está o aplicativo para descobrir amigos que estão nos espionando secretamente

Com solicitações C2 sobre HTTP POST contendo dados ofuscados, o malware tenta se comunicar e o corpo do Solicitação HTTP POST inclui as seguintes informações sobre o sistema da vítima: –

  • Configuração de %APPDATA%.
  • O nome do host do sistema.
  • O nome de usuário da vítima.
  • A configuração da estação de trabalho do sistema.

Além disso, é possível que o Squirrelwaffle seja uma versão renovada do Emotet pelos membros que escaparam da aplicação da lei; ou pode ser uma nova tentativa de outros atores de ameaças que estão tentando preencher o vazio deixado pelo Emotet.

Assim, os especialistas da Cisco Talos instaram todos os profissionais e organizações de segurança a ficarem atentos aos novos TTPs usados ​​pelos atores de ameaças.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.