Cobalt Strike distribuito con nuovo malware Squirrelwaffle

Il malware è apparso per la prima volta nel settembre 2021 e la sua diffusione ha raggiunto il picco alla fine del mese.

Cisco Talos ha scoperto un nuovo malware chiamato Squirrelwaffle che fornisce agli aggressori una posizione iniziale su un sistema compromesso e la possibilità di scaricarvi malware aggiuntivo.

Squirrelwaffle si è diffuso all’interno delle campagne spam di infezione da Qakbot e computer Cobalt Strike ed è uno degli strumenti che sono sorti dopo l’eliminazione della botnet Emotet delle forze dell’ordine.

Il malware è apparso per la prima volta nel settembre 2021 e la sua diffusione ha raggiunto il picco alla fine del mese.

Durante l’attacco, la vittima riceve una lettera in inglese, francese, olandese o polacco. La lettera contiene un collegamento ipertestuale a un archivio ZIP dannoso ospitato su un server Web controllato da hacker, nonché un allegato dannoso (file .doc o .xls) che avvia codice dannoso quando viene aperto.

In diversi documenti dannosi studiati dagli esperti, gli aggressori hanno utilizzato il servizio di firma digitale DocuSign come esca per costringere i destinatari ad attivare le macro nel pacchetto MS Office. I capovolgimenti di linea sono stati utilizzati per offuscare il codice che contengono. Questo codice ha scritto uno script VBS in% PROGRAMDATA% e lo ha eseguito.

Successivamente, il caricatore Squirrelwaffle è stato estratto da uno dei cinque URL codificati e consegnato al sistema compromesso come file DLL. Squirrelwaffle ha quindi scaricato malware come Qakbot o lo strumento di test di penetrazione Cobalt Strike.

Cobalt Strike è uno strumento di test di sicurezza legittimo per l’infrastruttura IT aziendale. Tuttavia, le sue versioni crackate sono molto popolari tra i criminali informatici (in particolare, è amato dagli operatori di ransomware).

Squirrelwaffle è inoltre dotato di una lista nera di IP non consentiti per gli attacchi. Include note società di sicurezza delle informazioni che il malware deve evitare per evitare il rilevamento e la successiva analisi.

La comunicazione di Squirrelwaffle con il framework C&C è crittografata (XOR + Base64) e viene eseguita tramite richieste HTTP POST.

La campagna diffonde file dannosi da server Web pre-compromessi e la maggior parte di questi siti esegue WordPress 5.8.1. Gli aggressori distribuiscono script anti-bot sui server Web per impedirne il rilevamento e l’analisi da parte di specialisti in sicurezza delle informazioni.