Detecção de Malware SquirrelWaffle

[post-views]
Novembro 03, 2021 · 4 min de leitura
Detecção de Malware SquirrelWaffle

O trono nunca está vago! Conheça o SquirrelWaffle, um novo carregador malicioso na cidade que se esforça para substituir o infame Emotet. Desde o início do outono de 2021, o SquirrelWaffle tem comprometido massivamente os hosts via campanhas de spam para fornecer aos adversários a capacidade de executar cargas úteis de segunda fase, incluindo amostras como Qakbot e Cobalt Strike.

Cadeia de Ataque

SquirrelWaffle é um novato no domínio do spam, sendo observado pela primeira vez em meados de setembro de 2021. Ele tem sido cada vez mais empurrado com a ajuda de malspam que se baseava em documentos do Microsoft Office armadilhas.

De acordo com a análise do framework de ataque do SquirrelWaffle realizada pela Cisco Talos, os adversários basearam-se na técnica de sequestro de threads de email para mascarar spam como respostas legítimas athreads de email existentes. Tal tática imita a abordagem do Emotet para ganhar credibilidade e prova que os mantenedores do SquirrelWaffle vão atrás da fama do Emotet. Notavelmente, a maioria das notificações falsas são entregues em inglês, no entanto, é realizada uma localização básica. O spam altera o idioma rapidamente para se adequar ao thread de email original. Atualmente, os pesquisadores detectaram o uso do francês, holandês, alemão e polonês, além das mensagens predominantemente em inglês.

Notably, the majority of fake notifications are delivered in English, however, basic localization is performed. Spam changes the language on the fly to fit the original email thread. Currently, researchers detected French, Dutch, German, and Polish being used in addition to prevailing English-language messages.

O spam inclui links que redirecionam vítimas desavisadas para arquivos ZIP maliciosos localizados em servidores sob controle dos hackers. Os arquivos contêm documentos do Word ou Excel que inserem malware nas máquinas infectadas ao serem abertos. Notadamente, os adversários utilizam o serviço de assinatura DocuSign para enganar as vítimas e persuadi-las a habilitar macros. Após o SquirrelWaffle aterrissar com sucesso na máquina do usuário, ele insere malware de segunda fase, como o malware Qakbot ou a ferramenta de pentesting CobaltStrike. pentesting tool.

Para cobrir os rastros e evitar a detecção, o SquirrelWaffle utiliza uma lista de bloqueio de IP populada em grandes empresas de segurança. Além disso, todas as comunicações entre o novo carregador e a infraestrutura de comando e controle (C&C) são criptografadas com XOR e Base64 para serem enviadas através de requisições HTTP POST. Finalmente, para ter sucesso no aspecto de distribuição de arquivos das campanhas, os autores da ameaça dependem de servidores web comprometidos previamente, a maioria dos quais rodando WordPress 5.8.1.

Detecção e Mitigação do SquirrelWaffle

À medida que o SquirrelWaffle acelera cada vez mais a escala e o escopo de seus esforços nefastos, empresas em todo o mundo devem fortalecer sua defesa contra a nova ameaça. Para detectar possíveis ataques contra sua infraestrutura, você pode baixar um conjunto de regras Sigma disponível na plataforma SOC Prime’s Detection as Code.

Atividade do Carregador SquirrelWaffle com CobaltStrike

Malware SquirrelWaffle Despeja Cobalt Strike

Padrões Comportamentais do SquirrelWaffle (via cmdline)

SquirrelWaffle Compromete Vítimas através de Uma Campanha de Malspam

Carregador SquirrelWaffle com Qakbot e CobaltStrike

Novo Malware SquirrelWaffle com Cobalt Strike (via proxy)

A lista completa de conteúdo de detecção abordando as infecções do SquirrelWaffle está disponível aqui. Todas as regras de detecção estão mapeadas para o Framework MITRE ATT&CK, totalmente curadas e verificadas.

Explore a primeira plataforma de Detecção como Código do mundo, para defesa cibernética colaborativa, caça e descoberta de ameaças, para aumentar as capacidades de detecção de ameaças e defender contra ataques de forma mais fácil, rápida e eficiente. Ansioso para criar suas próprias regras Sigma e YARA para tornar o mundo um lugar mais seguro? Participe do nosso Programa de Recompensas por Ameaças para ganhar recompensas recorrentes por suas valiosas contribuições!

Ir para a Plataforma Junte-se ao Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Detecção do Ataque Secret Blizzard: APT Apoiada pela rússia Alvo de Embaixadas Estrangeiras em Moscou com Malware ApolloShadow 5 min de leitura Ameaças Mais Recentes Detecção do Ataque Secret Blizzard: APT Apoiada pela rússia Alvo de Embaixadas Estrangeiras em Moscou com Malware ApolloShadow by Daryna Olyniychuk CVE-2025-8292: Vulnerabilidade Use-After-Free no Google Chrome Permite Execução Remota de Código e Comprometimento do Sistema 4 min de leitura Ameaças Mais Recentes CVE-2025-8292: Vulnerabilidade Use-After-Free no Google Chrome Permite Execução Remota de Código e Comprometimento do Sistema by Daryna Olyniychuk
Todas as notícias