Uma nova ameaça surgiu recentemente e lança malware como Qakbot e Cobalt Strike em sistemas e redes negociadas; esta nova ameaça é apelidada de “Squirrelwaffle” e os agentes da ameaça estão espalhando ativamente o Squirrelwaffle por meio de várias campanhas de e-mail maliciosas.
Pouco depois da interrupção do botnet amplamente utilizado, o Emotet, pelas agências de aplicação da lei, o Squirrelwaffle surgiu como uma alternativa ao Emotet. Os primeiros sinais desta nova ameaça surgiram em setembro de 2021, e os volumes de distribuição atingiram o pico no final desse mês.
Campanhas de e-mail e idiomas usados
Além das campanhas de e-mail de cadeia de resposta roubada em inglês, os spammers também usam e-mails nos seguintes idiomas:-
De acordo com relatório “Um anexo malicioso .doc ou .xls normalmente é anexado a um e-mail que contém links para arquivos ZIP maliciosos hospedados em servidores da Web controlados por invasores e executa código de recuperação de malware ao ser aberto.”
Para enganar os destinatários para que habilitem as macros no MS Office Suite, os agentes de ameaças usam o DocuSign como isca.
Processo de ataque
Como parte do ataque, a reversão de string é usada para ofuscar o código, que então grava um script VBS no diretório %PROGRAMDATA% e o executa.
Uma vez feito isso, a partir de um dos cinco URLs codificados, ele busca o Squirrelwaffle no formato DLL para entregá-lo ao sistema ameaçado. Agora, aqui, neste ponto, se o Squirrelwaffle em formato DLL for entregue com sucesso no sistema da vítima, então usando rundll32.exe a DLL maliciosa será executada.
Depois de completar todas as etapas, o carregador Squirrelwaffle implanta malware como Qakbot e Cobalt Strike. Para tarefas pós-exploração após a implantação de beacons, os atores da ameaça usam as versões crackeadas do Cobalt Strike para obter acesso remoto aos dispositivos comprometidos.
Com solicitações C2 sobre HTTP POST contendo dados ofuscados, o malware tenta se comunicar e o corpo do Solicitação HTTP POST inclui as seguintes informações sobre o sistema da vítima: –
- Configuração de %APPDATA%.
- O nome do host do sistema.
- O nome de usuário da vítima.
- A configuração da estação de trabalho do sistema.
Além disso, é possível que o Squirrelwaffle seja uma versão renovada do Emotet pelos membros que escaparam da aplicação da lei; ou pode ser uma nova tentativa de outros atores de ameaças que estão tentando preencher o vazio deixado pelo Emotet.
Assim, os especialistas da Cisco Talos instaram todos os profissionais e organizações de segurança a ficarem atentos aos novos TTPs usados pelos atores de ameaças.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.