Nouveau Malware Loader distribué via des campagnes Malspam
Les chercheurs en sécurité ont repéré une nouvelle souche de logiciels malveillants faisant le tour. La nouvelle menace est surnommée SquirrelWaffle et est distribuée à l'aide de campagnes de spam malveillantes, en utilisant des documents Microsoft Office falsifiés.
Des chercheurs de la société de sécurité Cisco Talos ont repéré la nouvelle menace en septembre 2021. SquirrelWaffle est un chargeur - un type de logiciel malveillant utilisé comme vecteur de livraison, déposant et déployant d'autres logiciels malveillants sur le système cible.
La campagne de malspam est intéressante car elle utilise des fils de discussion piratés, puis les e-mails chargés de logiciels malveillants sont envoyés en réponse à ces fils, leur donnant un aspect plus crédible. Les chercheurs de Cisco ont également repéré des similitudes entre la campagne actuelle SquirrelWaffle et les campagnes précédentes utilisées pour diffuser le malware Emotet. L'équipe de Talos a également envoyé un avertissement aux entreprises et aux sociétés, citant un risque accru d'infection des réseaux d'entreprise.
Les e-mails d'appât contiennent des liens vers des fichiers compressés hébergés sur des sites Web contrôlés par les pirates. Même si l'anglais utilisé dans le texte de l'e-mail est quelque peu discutable, Cisco a également remarqué un certain niveau de personnalisation des messages pour correspondre à la langue utilisée précédemment dans le fil de discussion, ce qui signifie qu'il y a un certain niveau de personnalisation et d'ingénierie sociale impliqué.
Les e-mails de SquirrelWaffle sont également distribués en français, allemand et polonais, ce qui signifie que la campagne ne cible pas seulement la démographie anglophone.
Cisco a surveillé les pics et les baisses d'activité de la campagne SquirrelWaffle et a déclaré que le nouveau malware n'est pas aussi largement distribué qu'Emotet, mais qu'il y parvient lentement. Le pic de malspam distribuant SquirrelWaffle a eu lieu fin septembre, avec trois autres pics d'activité car cela n'avait pas le même volume important.
Les fichiers d'archive utilisés dans l'e-mail de phishing contiennent des fichiers MS Office qui, une fois ouverts, fournissent la charge utile finale. Les fichiers sont nommés avec des noms significatifs et crédibles tels que « diagramme », « diagramme » ou « spécification » afin de renforcer davantage la confiance des victimes.