Спамеры вооружились новым дроппером Squirrelwaffle для загрузки Cobalt Strike

Специалисты компании Cisco Talos обнаружили новое вредоносное ПО Squirrelwaffle, обеспечивающее злоумышленникам исходную позицию в скомпрометированной системе и возможность загружать на нее дополнительные вредоносные программы.

Squirrelwaffle распространяется в рамках спам-кампаний по заражению компьютеров Qakbot и Cobalt Strike и представляет собой один из инструментов, возникших после ликвидации ботнета Emotet сотрудниками правоохранительных органов.

Впервые вредонос появился в сентябре 2021 года, и пик его распространения пришелся на конец месяца.

В ходе атаки жертва получает письмо на английском, французском, голландском или польском языке. В письме содержится гиперссылка на вредоносный ZIP-архив, размещенный на подконтрольном хакерам web-сервере, а также вредоносное вложение (файл .doc или .xls), при открытии запускающее вредоносный код.

В нескольких изученных специалистами вредоносных документах злоумышленники использовали в качестве наживки сервис цифровой подписи DocuSign, чтобы заставить получателей активировать макросы в пакете MS Office. Для обфускации содержащегося в них кода использовался переворот строки. Этот код записывал VBS-скрипт в %PROGRAMDATA% и выполнял его.

Далее из одного из пяти вшитых URL-адресов извлекался загрузчик Squirrelwaffle, доставляемый на скомпрометированную систему в виде DLL-файла. Затем Squirrelwaffle загружал вредоносное ПО наподобие Qakbot или инструмент для проведения тестирований на проникновение Cobalt Strike.

Cobalt Strike представляет собой легитимный инструмент для тестирования безопасности IT-инфраструктуры предприятий. Однако его взломанные версии пользуются большой популярностью у киберпреступников (в частности, его любят операторы вымогательского ПО).

Squirrelwaffle также оснащен черным списком IP-адресов, запрещенных для атак. В него входят известные ИБ-компании, которых вредонос должен избегать во избежание обнаружения и последующего анализа.

Связь Squirrelwaffle с C&C-инфраструктурой шифруется (XOR+Base64) и осуществляется через HTTP POST-запросы.

В ходе кампании вредоносные файлы распространяются с предварительно скомпрометированных web-серверов, и большинство из этих сайтов работают под управлением WordPress 5.8.1. Злоумышленники развертывают на web-серверах антибот-скрипты, предотвращающие их обнаружение и анализ ИБ-специалистами.