Il malware è apparso per la prima volta nel settembre 2021 e la sua diffusione ha raggiunto il picco alla fine del mese.
Cisco Talos ha scoperto un nuovo malware chiamato Squirrelwaffle che fornisce agli aggressori una posizione iniziale su un sistema compromesso e la possibilità di scaricarvi malware aggiuntivo.
Squirrelwaffle si è diffuso all’interno delle campagne spam di infezione da Qakbot e computer Cobalt Strike ed è uno degli strumenti che sono sorti dopo l’eliminazione della botnet Emotet delle forze dell’ordine.
Il malware è apparso per la prima volta nel settembre 2021 e la sua diffusione ha raggiunto il picco alla fine del mese.
Durante l’attacco, la vittima riceve una lettera in inglese, francese, olandese o polacco. La lettera contiene un collegamento ipertestuale a un archivio ZIP dannoso ospitato su un server Web controllato da hacker, nonché un allegato dannoso (file .doc o .xls) che avvia codice dannoso quando viene aperto.
In diversi documenti dannosi studiati dagli esperti, gli aggressori hanno utilizzato il servizio di firma digitale DocuSign come esca per costringere i destinatari ad attivare le macro nel pacchetto MS Office. I capovolgimenti di linea sono stati utilizzati per offuscare il codice che contengono. Questo codice ha scritto uno script VBS in% PROGRAMDATA% e lo ha eseguito.
Successivamente, il caricatore Squirrelwaffle è stato estratto da uno dei cinque URL codificati e consegnato al sistema compromesso come file DLL. Squirrelwaffle ha quindi scaricato malware come Qakbot o lo strumento di test di penetrazione Cobalt Strike.
Cobalt Strike è uno strumento di test di sicurezza legittimo per l’infrastruttura IT aziendale. Tuttavia, le sue versioni crackate sono molto popolari tra i criminali informatici (in particolare, è amato dagli operatori di ransomware).
Squirrelwaffle è inoltre dotato di una lista nera di IP non consentiti per gli attacchi. Include note società di sicurezza delle informazioni che il malware deve evitare per evitare il rilevamento e la successiva analisi.
La comunicazione di Squirrelwaffle con il framework C&C è crittografata (XOR + Base64) e viene eseguita tramite richieste HTTP POST.
La campagna diffonde file dannosi da server Web pre-compromessi e la maggior parte di questi siti esegue WordPress 5.8.1. Gli aggressori distribuiscono script anti-bot sui server Web per impedirne il rilevamento e l’analisi da parte di specialisti in sicurezza delle informazioni.
