Malspamキャンペーンを通じて配布される新しいマルウェアローダー

セキュリティ研究者は、巡回しているマルウェアの新種を発見しました。新しい脅威はSquirrelWaffleと呼ばれ、悪意のあるスパムキャンペーンを使用して配布されています。

セキュリティ会社CiscoTalosの研究者は、2021年9月に新しい脅威を発見しました。SquirrelWaffleはローダーです。マルウェアの一種で、標的システムに他の悪意のあるソフトウェアをドロップして展開する一種の配信手段として使用されます。

マルスパムキャンペーンは、ハイジャックされた電子メールスレッドを使用し、マルウェアを含んだ電子メールがそれらのスレッドへの返信として送信され、より信頼性の高い外観を提供するため、興味深いものです。シスコの研究者は、現在のSquirrelWaffleキャンペーンとEmotetマルウェアの拡散に使用された以前のキャンペーンとの類似点も発見しました。 Talosチームはまた、企業ネットワークへの感染の危険性が高まっていることを理由に、企業や企業に警告の言葉を送りました。

餌の電子メールには、ハッカーによって制御されているWebサイトでホストされている圧縮ファイルへのリンクが含まれています。電子メールのテキストで使用されている英語はやや疑わしいものですが、Ciscoは、以前に電子メールスレッドで使用されていた言語に一致するようにメッセージを調整するレベルにも気づきました。つまり、調整とソーシャルエンジニアリングがある程度含まれています。

SquirrelWaffleの電子メールはフランス語、ドイツ語、ポーランド語でも配布されます。つまり、キャンペーンは英語を話す人口統計だけを対象としているわけではありません。

Ciscoは、SquirrelWaffleキャンペーンのオンとオフのアクティビティのピークとドロップを監視しており、新しいマルウェアはEmotetほど広く配布されていませんが、徐々にそこに到達していると述べています。 SquirrelWaffleを配布するマルスパムのピークは、9月下旬に発生しましたが、同じ量ではなかったため、アクティビティがさらに3回急増しました。

フィッシングメールで使用されるアーカイブファイルには、MS Officeファイルが含まれており、開くと最終的なペイロードが配信されます。ファイルには、被害者の信頼をさらに高めるために、「図」、「チャート」、「仕様」などの意味のある、信頼できる名前が付けられています。