in

Los piratas informáticos utilizan Squirrelwaffle Loader para implementar Qakbot y Cobalt Strike


Qakbot y Cobalt Strike

Una nueva campaña de correo electrónico no deseado ha surgido como un canal para un cargador de malware previamente indocumentado que permite a los atacantes irrumpir en las redes corporativas y eliminar cargas útiles dañinas en sistemas comprometidos.

«Estas infecciones también se utilizan para facilitar la propagación de malware adicional como Qakbot y Cobalt Strike, dos de las amenazas más comunes que se observan regularmente contra empresas de todo el mundo», dijeron los investigadores de Cisco Talos en un informe técnico.

Copias de seguridad automáticas de GitHub

La campaña de malspam está programada para comenzar a mediados de septiembre de 2021 a través de documentos vinculados de Microsoft Office que, cuando se abren, desencadenan una cadena de infección que hace que las máquinas se infecten con lo que se conoce como malware. ARDILLA WAFFLE.

La última operación refleja una técnica que es consistente con otros ataques de phishing de este tipo y utiliza hilos de correo electrónico robados para darles un velo de legitimidad y engañar a los usuarios desprevenidos para que abran los archivos adjuntos.

Además, el idioma utilizado en los mensajes de respuesta es el mismo que el idioma del hilo de correo electrónico original, lo que sugiere una localización dinámica que aumenta la probabilidad de que la campaña tenga éxito. Los cinco idiomas más utilizados para la entrega del cargador son inglés (76%), seguido del francés (10%), alemán (7%), holandés (4%) y polaco (3%).

Qakbot y Cobalt Strike

El volumen de distribución de correo electrónico que se benefició de la nueva amenaza alcanzó su punto máximo alrededor del 26 de septiembre, según los datos compilados por la firma de ciberseguridad.

Si bien los servidores web previamente comprometidos, que ejecutan principalmente versiones del sistema de administración de contenido (CMS) de WordPress, actúan como la infraestructura para la distribución de malware, una técnica interesante que se ha observado es el uso de scripts «Antibot» para bloquear solicitudes web que se originan en direcciones IP. que no lo son demasiado. pertenecen a las víctimas, sino a plataformas de análisis automatizado y organizaciones de investigación de seguridad.

El cargador de malware no solo implementa Qakbot y la infame herramienta de prueba de penetración Cobalt Strike en los puntos finales infectados, sino que también establece comunicación con un servidor remoto controlado por el atacante para recuperar cargas útiles secundarias, lo que lo convierte en una poderosa utilidad de uso múltiple.

«Después de deshabilitar la botnet Emotet a principios de este año, los actores de amenazas criminales están llenando ese vacío», encontró Zscaler en un análisis del mismo malware el mes pasado. “SQUIRRELWAFFLE parece ser un nuevo cargador que aprovecha este vacío legal. Todavía no está claro si SQUIRRELWAFFLE será desarrollado y comercializado por un actor de amenazas conocido o un nuevo grupo. Sin embargo, Emotet utilizó anteriormente técnicas de difusión similares «.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Tesla invierte la actualización beta para «conducción autónoma total» después de mensajes de frenado repentino

Dark HunTOR: 150 arrestados, $ 31 millones confiscados de una gran redada en la web oscura