首页保安Squirrelwaffle:促进感染 Qakbot 系统的新工具......

Squirrelwaffle:促进感染 Qakbot 和 Cobalt Strike 系统的新工具

一种名为的新恶意软件工具 松鼠华夫饼 已经出现并允许网络犯罪分子 获得对系统的访问权并使用其他恶意软件感染它们。

广告
松鼠华夫饼蔓延开来 垃圾邮件活动,旨在感染系统 卡博 恶意软件和渗透测试工具 钴罢工.

另见: Squid Game 应用程序有数千次下载感染了 Joker 恶意软件的设备

松鼠华夫饼

被发现 由其研究人员 思科塔洛斯。 Squirrelwaffle 是作为其替代品出现的工具之一 Emotet,在其被执法部门“销毁”后不久。

这种新威胁于 2021 年 XNUMX 月首次出现,并在本月底变得更加明显。 正如我们之前所说,它主要分布在 垃圾邮件 活动。 他们已被发现 英语、法语、德语、荷兰语和波兰语的恶意电子邮件。

Cobalt Strike Qakbot

垃圾邮件包含 链接 导致 恶意 ZIP 文件,它们托管在入侵者控制的 Web 服务器上,通常包括一个 恶意附件 .doc 或 .xls 运行恶意软件检索代码(如果打开)。

在 Talos 调查人员看到的许多文件中,犯罪分子使用该平台 的DocuSign,作为诱使收件人激活 MS Office 套件中的宏的诱饵。

该代码利用字符串反转进行混淆,将 VBS 脚本写入 %PROGRAMDATA% 并执行它。

另见: 谷歌:黑客利用 cookie 盗窃恶意软件瞄准 YouTube 用户

此操作会恢复 Squirrelwaffle 并将其作为 DLL 文件传送到受感染系统。

然后 Squirrelwaffle loader 开发恶意软件,例如 Qakbot 或渗透测试工具 Cobalt Strike。

Cobalt Strike 是一种合法的渗透测试工具,设计为一种攻击框架,用于测试组织的基础架构以检测安全漏洞和漏洞。

但是,网络犯罪分子也使用 Cobalt Strike 的破解版本。

Squirrelwaffle 还有一个 IP 阻止列表,以避免检测和分析。

另见: 国有黑客以电信供应商和 IT 公司为目标

Squirrelwaffle 和 C2 基础设施之间的所有通信都经过加密(XOR + Base64)并通过 HTTP POST 请求发送。

Cisco Talos 研究人员建议所有用户和组织特别小心他们收到的电子邮件并定期更新他们的系统。

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻