Rilevamento del Malware SquirrelWaffle
Indice:
Il trono non è mai vacante! Incontra SquirrelWaffle, un nuovo loader malevolo in città che si sforza di sostituire il famigerato Emotet. Dall’inizio dell’autunno 2021, SquirrelWaffle ha compromesso massicciamente gli host tramite campagne di spam per fornire agli avversari la possibilità di rilasciare payload di seconda fase, inclusi campioni come Qakbot e Cobalt Strike.
Catena di Attacco
SquirrelWaffle è un nuovo arrivato nel dominio dello spam, avvistato per la prima volta a metà settembre 2021. È stato spinto sempre più con l’aiuto di malspam che faceva affidamento su documenti Microsoft Office trappolati.
Secondo l’ analisi del framework di attacco di SquirrelWaffle condotta da Cisco Talos, gli avversari si sono affidati alla tecnica di dirottamento del thread di email per mascherare lo spam come risposte legittime a thread di email esistenti.Tale tattica imita l’approccio di Emotet per guadagnare credibilità e dimostra che i manutentori di SquirrelWaffle puntano alla fama di Emotet. Notoriamente, la maggior parte delle notifiche false viene consegnata in inglese, tuttavia, viene eseguita una localizzazione di base. Lo spam cambia lingua al volo per adattarsi al thread di email originale. Attualmente, i ricercatori hanno rilevato l’uso di francese, olandese, tedesco e polacco oltre ai messaggi prevalentemente in inglese.
Notably, the majority of fake notifications are delivered in English, however, basic localization is performed. Spam changes the language on the fly to fit the original email thread. Currently, researchers detected French, Dutch, German, and Polish being used in addition to prevailing English-language messages.
Lo spam include collegamenti che reindirizzano le vittime ignare ad archivi ZIP malevoli situati sui server sotto il controllo degli hacker. Gli archivi contengono file Word o Excel che rilasciano malware sulle macchine infette se aperti. Notoriamente, gli avversari sfruttano il servizio di firma DocuSign per fuorviare le vittime e persuaderle ad abilitare le macro. Dopo che SquirrelWaffle atterra con successo sulla macchina dell’utente, rilascia malware di seconda fase, come Qakbot malware o lo strumento di pentesting CobaltStrike. Per coprire le tracce ed evitare il rilevamento, SquirrelWaffle sfrutta una lista di blocco IP distribuita tra le principali aziende di sicurezza. Inoltre, tutte le comunicazioni tra il nuovo loader e l’infrastruttura di command-and-control (C&C) sono crittografate con XOR e Base64 per poi essere inviate tramite richieste HTTP POST. Infine, per avere successo nell’aspetto della distribuzione dei file delle campagne, gli attori delle minacce si affidano a server web precedentemente compromessi, la maggior parte dei quali funzionano con WordPress 5.8.1.
To cover the traces and avoid detection, SquirrelWaffle leverages an IP block list populated across major security firms. In addition, all communications between the new loader and command-and-control (C&C) infrastructure are encrypted with XOR and Base64 to be then sent via HTTP POST requests. Finally, to succeed in the file distribution aspect of the campaigns, threat actors rely on previously compromised web servers, most of which are running WordPress 5.8.1.
Rilevamento e Mitigazione di SquirrelWaffle
Poiché SquirrelWaffle sta sempre più accelerando l’ampiezza e la portata dei suoi sforzi nefasti, le aziende in tutto il mondo dovrebbero rafforzare la loro difesa contro la nuova minaccia. Per rilevare possibili attacchi contro la tua infrastruttura, puoi scaricare un insieme di regole Sigma disponibili sulla piattaforma di Rilevamento come Codice di SOC Prime.
Attività del Loader SquirrelWaffle con CobaltStrike
Il Malware SquirrelWaffle Rilascia Cobalt Strike
Schemi Comportamentali di SquirrelWaffle (tramite cmdline)
SquirrelWaffle Compromette le Vittime tramite una Campagna di Malspam
Loader SquirrelWaffle con Qakbot e CobaltStrike
Nuovo Malware SquirrelWaffle con Cobalt Strike (tramite proxy)
L’elenco completo dei contenuti di rilevamento che affronta le infezioni da SquirrelWaffle è disponibile qui. Tutte le regole di rilevamento sono mappate al MITRE ATT&CK Framework, accuratamente curate e verificate.
Esplora la prima piattaforma al mondo di Rilevamento come Codice per la difesa informatica collaborativa, la caccia alle minacce e la scoperta per potenziare le capacità di rilevamento delle minacce e difendersi dagli attacchi più facilmente, rapidamente e in modo più efficiente. Impaziente di creare le tue regole Sigma e YARA per rendere il mondo un posto più sicuro? Unisciti al nostro Programma di Ricompense per le Minacce per ottenere ricompense ricorrenti per il tuo prezioso contributo!
