Tecnología

Los spammers utilizan el malware Squirrelwaffle para lanzar Cobalt Strike

ardilla

Una nueva amenaza de malware llamada Squirrelwaffle ha surgido en la naturaleza, apoyando a los actores con un punto de apoyo inicial y una forma de lanzar malware en sistemas y redes comprometidos.

La nueva herramienta de malware se propaga a través de campañas de spam que incluyen a Qakbot y Cobalt Strike en las campañas más recientes.

Descubierta por investigadores de Cisco Talos, Squirrelwaffle es una de las herramientas que surgió como un reemplazo de Emotet poco después de la interrupción de la aplicación de la ley en la botnet ampliamente utilizada.

Esta nueva amenaza apareció por primera vez en septiembre de 2021, y los volúmenes de distribución alcanzaron su punto máximo a finales de ese mes. Si bien la campaña de spam utiliza principalmente campañas de correo electrónico de cadena de respuesta robadas en inglés, los actores de amenazas también utilizan correos electrónicos en francés, alemán, holandés y polaco.

Idiomas utilizados en los correos electrónicos no deseados de campañas recientes.
Idiomas utilizados en los correos electrónicos no deseados de campañas recientes.
Fuente: Cisco Talos

Estos correos electrónicos contienen hipervínculos a archivos ZIP maliciosos alojados en servidores web controlados por atacantes y, por lo general, incluyen un archivo adjunto .doc o .xls malicioso que ejecuta código de recuperación de malware si se abre.

En varios documentos muestreados y analizados por investigadores de Talos, los actores utilizan la plataforma de firma DocuSign como cebo para engañar a los destinatarios para que habiliten macros en su suite MS Office.

DocuSign utilizado como cebo para convencer a los destinatarios de que habiliten macros
DocuSign utilizado como cebo para convencer a los destinatarios de que habiliten macros
Fuente: Cisco Talos

El código contenido aprovecha la inversión de cadenas para la ofuscación, escribe un script VBS en% PROGRAMDATA% y lo ejecuta.

Esta acción obtiene Squirrelwaffle de una de las cinco URL codificadas y lo entrega en forma de archivo DLL en el sistema comprometido.

Código de macro que se ejecuta para recuperar cargas útiles del C2
Código de macro que se ejecuta para recuperar cargas útiles del C2
Fuente: Cisco Talos

El cargador Squirrelwaffle luego implementa malware como Qakbot o la herramienta de prueba de penetración Cobalt Strike, ampliamente abusada.

Cobalt Strike es una herramienta de prueba de penetración legítima diseñada como un marco de ataque para probar la infraestructura de una organización para descubrir brechas de seguridad y vulnerabilidades.

Sin embargo, las versiones pirateadas de Cobalt Strike también son utilizadas por los actores de amenazas (comúnmente utilizadas durante los ataques de ransomware) para tareas posteriores a la explotación después de implementar balizas, que les brindan acceso remoto persistente a los dispositivos comprometidos.

Squirrelwaffle también presenta una lista de bloqueo de IP que está poblada de notables firmas de investigación de seguridad como una forma de evadir la detección y el análisis.

Todas las comunicaciones entre Squirrelwaffle y la infraestructura C2 están encriptadas (XOR + Base64) y enviadas a través de solicitudes HTTP POST.

Respuesta del servidor a Squirrelwaffle
Respuesta del servidor a Squirrelwaffle
Fuente: Cisco Talos

Los actores de amenazas aprovechan los servidores web previamente comprometidos para respaldar el aspecto de distribución de archivos de sus operaciones, y la mayoría de estos sitios ejecutan WordPress 5.8.1.

En estos servidores, los adversarios implementan scripts «antibot» que ayudan a prevenir la detección y el análisis White Hat.

Otros actores establecidos han implementado varios de los métodos cubiertos en el informe de Cisco Talos en el pasado.

Como tal, Squirrelwaffle puede ser un reinicio de Emotet por parte de miembros que esquivaron la aplicación de la ley u otros actores de amenazas que intentan llenar el vacío dejado por el notorio malware.

Debido a su creciente utilización, Cisco Talos aconseja a todas las organizaciones y profesionales de la seguridad que conozcan los TTP utilizados en las campañas de este malware.

Leave a Comment

You may also like