Détection de Malware SquirrelWaffle
Table des matières :
Le trône n’est jamais vacant ! Faites la connaissance de SquirrelWaffle, un nouveau chargeur malveillant en ville qui cherche à remplacer le tristement célèbre Emotet. Depuis le début de l’automne 2021, SquirrelWaffle compromet massivement des hôtes via des campagnes de spam pour fournir aux adversaires la capacité de déposer des charges utiles de deuxième étape, y compris des échantillons tels que Qakbot et Cobalt Strike.
Chaîne de destruction d’attaque
SquirrelWaffle est un nouveau venu dans le domaine du spam, ayant été repéré pour la première fois à la mi-septembre 2021. Il est de plus en plus poussé avec l’aide de malspam qui s’appuie sur des documents Microsoft Office piégés.
Selon l’ analyse du cadre d’attaque SquirrelWaffle réalisée par Cisco Talos, les adversaires ont utilisé la technique du détournement de fil de discussion par e-mail pour faire passer le spam pour des réponses légitimes à des fils d’e-mails existants. Une telle tactique imite l’approche d’Emotet pour gagner en crédibilité et prouve que les mainteneurs de SquirrelWaffle poursuivent la célébrité d’Emotet. Notamment, la majorité des fausses notifications sont délivrées en anglais, cependant une localisation de base est effectuée. Le spam change de langue à la volée pour s’adapter au fil de discussion original. Actuellement, les chercheurs ont détecté l’utilisation du français, du néerlandais, de l’allemand et du polonais en plus des messages prédominants en anglais.
Notably, the majority of fake notifications are delivered in English, however, basic localization is performed. Spam changes the language on the fly to fit the original email thread. Currently, researchers detected French, Dutch, German, and Polish being used in addition to prevailing English-language messages.
Le spam inclut des liens redirigeant les victimes inconscientes vers des archives ZIP malveillantes situées sur des serveurs sous le contrôle des hackers. Les archives contiennent des fichiers Word ou Excel qui déposent des logiciels malveillants sur les machines infectées si elles sont ouvertes. Notamment, les adversaires exploitent le service de signature DocuSign pour tromper les victimes et les persuader d’activer les macros. Après que SquirrelWaffle ait réussi à atterrir sur la machine de l’utilisateur, il dépose des logiciels malveillants de deuxième étape, comme Qakbot ou l’outil de pentesting CobaltStrike. pour couvrir les traces et éviter la détection, SquirrelWaffle utilise une liste de blocs IP peuplée parmi les principales entreprises de sécurité. De plus, toutes les communications entre le nouveau chargeur et l’infrastructure de commandement et de contrôle (C&C) sont cryptées avec XOR et Base64 pour ensuite être envoyées via des requêtes HTTP POST. Enfin, pour réussir dans l’aspect distribution de fichiers des campagnes, les acteurs de la menace s’appuient sur des serveurs Web précédemment compromis, dont la plupart exécutent WordPress 5.8.1.
To cover the traces and avoid detection, SquirrelWaffle leverages an IP block list populated across major security firms. In addition, all communications between the new loader and command-and-control (C&C) infrastructure are encrypted with XOR and Base64 to be then sent via HTTP POST requests. Finally, to succeed in the file distribution aspect of the campaigns, threat actors rely on previously compromised web servers, most of which are running WordPress 5.8.1.
Détection et atténuation de SquirrelWaffle
Alors que SquirrelWaffle accélère de plus en plus l’échelle et la portée de ses efforts néfastes, les entreprises du monde entier devraient renforcer leur défense contre la nouvelle menace. Pour détecter d’éventuelles attaques contre votre infrastructure, vous pouvez télécharger un ensemble de règles Sigma disponible sur la plateforme Détection en tant que Code de SOC Prime.
Activité du chargeur SquirrelWaffle avec CobaltStrike
Le logiciel malveillant SquirrelWaffle dépose Cobalt Strike
Schémas comportementaux de SquirrelWaffle (via cmdline)
SquirrelWaffle compromet les victimes via une campagne de malspam
Chargeur SquirrelWaffle avec Qakbot et CobaltStrike
Nouveau logiciel malveillant SquirrelWaffle avec Cobalt Strike (via proxy)
La liste complète du contenu de détection traitant des infections SquirrelWaffle est disponible ici. Toutes les règles de détection sont mappées au cadre ATT&CK de MITRE, soigneusement élaborées et vérifiées.
Explorez la première plateforme Détection en tant que Code au monde pour la défense cyber collaborative, la chasse aux menaces et la découverte pour améliorer les capacités de détection des menaces et se défendre contre les attaques plus facilement, plus rapidement et plus efficacement. Vous êtes impatient de créer vos propres règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre Programme de Récompenses des Menaces pour obtenir des récompenses récurrentes pour votre contribution précieuse !
