В последнее время киберпреступники активно используют новые методы для распространения вредоносного ПО, и одной из таких угроз стал дроппер под названием SquirrelWaffle. Этот инструмент был замечен в рассылке вредоносных документов через скомпрометированные электронные письма, что позволяет злоумышленникам заражать системы жертв такими опасными программами, как Qbot (также известный как QakBot) и Cobalt Strike. Оба этих семейства вредоносного ПО представляют серьезную угрозу для корпоративных сетей и частных пользователей, поскольку могут использоваться для кражи данных, удаленного управления зараженными устройствами и дальнейшего распространения атак.
Описание
SquirrelWaffle действует по классической схеме фишинговых кампаний: злоумышленники рассылают поддельные письма, маскируя их под легитимные документы, такие как счета, уведомления о доставке или официальные запросы. Вложения в этих письмах содержат вредоносные макросы или эксплойты, которые при открытии запускают процесс загрузки и выполнения дополнительных вредоносных модулей. После успешного проникновения в систему SquirrelWaffle загружает либо Qbot, либо Cobalt Strike, в зависимости от целей атаки.
Qbot – это банковский троян, который также используется как инструмент для кражи учетных данных и распространения других вредоносных программ. Он способен перехватывать вводимые пользователем данные, красть cookies браузеров и даже внедряться в процессы легитимных приложений, чтобы избежать обнаружения. Cobalt Strike, в свою очередь, является платформой для пентестинга, которую киберпреступники активно используют для организации сложных атак, включая атаки типа "живи за счет земли" (Living-off-the-Land) и создание ботнетов.
Эксперты по кибербезопасности отмечают, что SquirrelWaffle демонстрирует высокий уровень адаптивности, меняя тактики рассылки и методы обфускации кода, чтобы обходить защитные механизмы. Кроме того, злоумышленники активно используют уязвимости в популярном программном обеспечении, таком как Microsoft Office, чтобы повысить эффективность заражения. Это делает атаки особенно опасными для организаций, где сотрудники могут неосознанно открывать подозрительные вложения.
Для защиты от подобных угроз специалисты рекомендуют соблюдать базовые правила кибергигиены: не открывать вложения в письмах от неизвестных отправителей, отключать макросы в документах по умолчанию, регулярно обновлять программное обеспечение и использовать современные антивирусные решения с функциями поведенческого анализа. Также важно обучать сотрудников распознаванию фишинговых атак, поскольку человеческий фактор остается одним из ключевых векторов заражения.
Появление SquirrelWaffle подтверждает тенденцию к усложнению кибератак и увеличению числа многоступенчатых вредоносных кампаний. Организациям необходимо внедрять комплексные меры защиты, включая мониторинг сетевой активности, анализ угроз в реальном времени и регулярное тестирование систем на уязвимости. Только комплексный подход позволит минимизировать риски и предотвратить серьезные инциденты, связанные с утечкой данных или остановкой бизнес-процессов.
Индикаторы компрометации
IPv4
- 107.180.50.210
- 161.97.71.28
- 162.240.41.141
- 162.241.85.111
- 166.62.10.141
- 166.62.27.149
- 172.67.173.18
- 172.67.193.46
- 172.96.185.199
- 192.64.119.20
- 201.148.104.15
- 207.210.228.77
- 3.138.164.131
- 37.48.104.133
- 46.4.98.104
- 46.4.98.114
- 5.77.63.180
- 66.235.200.145
- 88.99.53.105
Domains
- ballsybanter.com
- bangtaihaitan.com
- cdn.escortdude.com
- eminhomewear.com
- gamenftkiemtien.com
- gsconcretecoatings.com
- hinoderoyalpark-hoaiduc.vn
- insanesocialnetworking.com
- lessonopoly.org
- manage-box.com
- paste4btc.com
- pop.vicamtaynam.com
- promjene.org
- shenzhenjia.cn
- smtp.laviaggio.in
- smtp.staff1959.xyz
- tpucdn.com
- www.ballsybanter.com
- www.jobresulthub.com
- www.shenzhenjia.cn
