Los piratas informáticos utilizan Squirrelwaffle Loader para implementar Qakbot y Cobalt Strike
Una nueva campaña de correo electrónico no deseado ha surgido como un canal para un cargador de malware previamente indocumentado que permite a los atacantes irrumpir en las redes corporativas y eliminar cargas útiles dañinas en sistemas comprometidos.
«Estas infecciones también se utilizan para facilitar la propagación de malware adicional como Qakbot y Cobalt Strike, dos de las amenazas más comunes que se observan regularmente contra empresas de todo el mundo», dijeron los investigadores de Cisco Talos en un informe técnico.
La campaña de malspam está programada para comenzar a mediados de septiembre de 2021 a través de documentos vinculados de Microsoft Office que, cuando se abren, desencadenan una cadena de infección que hace que las máquinas se infecten con lo que se conoce como malware. ARDILLA WAFFLE.
La última operación refleja una técnica que es consistente con otros ataques de phishing de este tipo y utiliza hilos de correo electrónico robados para darles un velo de legitimidad y engañar a los usuarios desprevenidos para que abran los archivos adjuntos.
Además, el idioma utilizado en los mensajes de respuesta es el mismo que el idioma del hilo de correo electrónico original, lo que sugiere una localización dinámica que aumenta la probabilidad de que la campaña tenga éxito. Los cinco idiomas más utilizados para la entrega del cargador son inglés (76%), seguido del francés (10%), alemán (7%), holandés (4%) y polaco (3%).
El volumen de distribución de correo electrónico que se benefició de la nueva amenaza alcanzó su punto máximo alrededor del 26 de septiembre, según los datos compilados por la firma de ciberseguridad.
Si bien los servidores web previamente comprometidos, que ejecutan principalmente versiones del sistema de administración de contenido (CMS) de WordPress, actúan como la infraestructura para la distribución de malware, una técnica interesante que se ha observado es el uso de scripts «Antibot» para bloquear solicitudes web que se originan en direcciones IP. que no lo son demasiado. pertenecen a las víctimas, sino a plataformas de análisis automatizado y organizaciones de investigación de seguridad.
El cargador de malware no solo implementa Qakbot y la infame herramienta de prueba de penetración Cobalt Strike en los puntos finales infectados, sino que también establece comunicación con un servidor remoto controlado por el atacante para recuperar cargas útiles secundarias, lo que lo convierte en una poderosa utilidad de uso múltiple.
«Después de deshabilitar la botnet Emotet a principios de este año, los actores de amenazas criminales están llenando ese vacío», encontró Zscaler en un análisis del mismo malware el mes pasado. “SQUIRRELWAFFLE parece ser un nuevo cargador que aprovecha este vacío legal. Todavía no está claro si SQUIRRELWAFFLE será desarrollado y comercializado por un actor de amenazas conocido o un nuevo grupo. Sin embargo, Emotet utilizó anteriormente técnicas de difusión similares «.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
