Detección de Malware SquirrelWaffle

[post-views]
noviembre 03, 2021 · 3 min de lectura
Detección de Malware SquirrelWaffle

¡El trono nunca está vacío! Conozca a SquirrelWaffle, un nuevo cargador malicioso en la ciudad que se esfuerza por reemplazar al infame Emotet. Desde el comienzo del otoño de 2021, SquirrelWaffle ha comprometido masivamente hosts a través de campañas de spam para proporcionar a los adversarios la capacidad de liberar cargas útiles de segunda etapa, incluyendo muestras como Qakbot y Cobalt Strike.

Cadena de Muerte del Ataque

SquirrelWaffle es un recién llegado en el dominio del spam, siendo visto por primera vez a mediados de septiembre de 2021. Ha sido impulsado cada vez más con la ayuda de malspam que se basaba en documentos de Microsoft Office con trampas explosivas.

Según el análisis del marco de ataque de SquirrelWaffle realizado por Cisco Talos, los adversarios se basaron en la técnica de secuestro de hilo de correo electrónico para disfrazar el spam como respuestas legítimas a subpreguntasde hilos de correo electrónico existentes. Tal táctica imita el enfoque de Emotet de ganar credibilidad y demuestra que los mantenedores de SquirrelWaffle buscan la fama de Emotet. fame. 

Notablemente, la mayoría de las notificaciones falsas se entregan en inglés, sin embargo, se realiza una localización básica. El spam cambia el idioma sobre la marcha para adaptarse al hilo de correo electrónico original. Actualmente, los investigadores han detectado que se utilizan francés, holandés, alemán y polaco además de los mensajes predominantes en inglés.

El spam incluye enlaces que redirigen a las víctimas desprevenidas a archivos ZIP maliciosos ubicados en los servidores bajo el control de los piratas informáticos. Los archivos contienen documentos de Word o Excel que descargan malware en las máquinas infectadas si se abren. Notablemente, los adversarios aprovechan el servicio de firma de DocuSign para engañar a las víctimas y persuadirlas para que habiliten macros. Después de que SquirrelWaffle aterriza exitosamente en la máquina del usuario, despliega malware de segunda etapa, como Qakbot malware o herramienta de pentesting Cobalt Strike. pentesting tool.

Para cubrir las huellas y evitar la detección, SquirrelWaffle aprovecha una lista de bloqueo de IPs poblada a través de las principales empresas de seguridad. Además, todas las comunicaciones entre el nuevo cargador y la infraestructura de comando y control (C&C) están cifradas con XOR y Base64 para luego ser enviadas a través de solicitudes HTTP POST. Finalmente, para tener éxito en el aspecto de distribución de archivos de las campañas, los actores de amenazas se basan en servidores web previamente comprometidos, la mayoría de los cuales ejecutan WordPress 5.8.1.

Detección y Mitigación de SquirrelWaffle

A medida que SquirrelWaffle acelera cada vez más la escala y el alcance de sus esfuerzos nefastos, las empresas de todo el mundo deben fortalecer su defensa contra la nueva amenaza. Para detectar posibles ataques contra su infraestructura, puede descargar un conjunto de reglas Sigma disponibles en la plataforma Detection as Code de SOC Prime.

Actividad del Cargador de SquirrelWaffle con Cobalt Strike

SquirrelWaffle Malware Despliega Cobalt Strike

Patrones de Comportamiento de SquirrelWaffle (a través de cmdline)

SquirrelWaffle Compromete Víctimas a través de una Campaña de Malspam

Cargador SquirrelWaffle con Qakbot y Cobalt Strike

Nuevo Malware SquirrelWaffle con Cobalt Strike (a través de proxy)

La lista completa de contenido de detección que aborda las infecciones por SquirrelWaffle está disponible aquí. Todas las reglas de detección están mapeadas al Marco MITRE ATT&CK, minuciosamente curadas y verificadas.

Explore la primera plataforma Detection as Code del mundo para la defensa cibernética colaborativa, caza y descubrimiento de amenazas para aumentar las capacidades de detección de amenazas y defenderse de los ataques de manera más fácil, rápida y eficiente. ¿Desearía crear sus propias reglas Sigma y YARA para hacer del mundo un lugar más seguro? ¡Únase a nuestro Programa de Recompensa de Amenazas para obtener recompensas recurrentes por su valiosa contribución!

Ir a la Plataforma Únase a la Recompensa de Amenazas

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Últimas Amenazas Detección de CVE-2025-8088: El Día Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk Detección del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en Moscú con malware ApolloShadow 5 min de lectura Últimas Amenazas Detección del ataque Secret Blizzard: APT respaldada por rusia apunta a embajadas extranjeras en Moscú con malware ApolloShadow by Daryna Olyniychuk CVE-2025-8292: Vulnerabilidad Use-After-Free en Google Chrome permite RCE y compromiso del sistema 4 min de lectura Últimas Amenazas CVE-2025-8292: Vulnerabilidad Use-After-Free en Google Chrome permite RCE y compromiso del sistema by Daryna Olyniychuk
Todas las noticias