Hackers que usan Squirrelwaffle Loader para implementar Qakbot y Cobalt Strike

Qakbot y ataque de cobalto

Ha surgido una nueva campaña de correo electrónico no deseado como canal para un cargador de malware previamente no documentado que permite a los atacantes obtener soporte inicial en redes corporativas y transmitir cargas maliciosas a sistemas comprometidos.

«Estas infecciones también se utilizan para facilitar la propagación de otro malware, como Qakbot y Cobalt Strike, dos de las amenazas más comunes que atacan regularmente a organizaciones de todo el mundo», dijeron los investigadores de Cisco Talos.

Se cree que la campaña anti-malspam se lanzó a mediados de septiembre de 2021 a través de documentos atascados de Microsoft Office que, cuando se abren, desencadenan una cadena infecciosa que hace que las computadoras se infecten con malware. ARDILLA.

La última operación, que refleja una técnica consistente con otros ataques de phishing de este tipo, utiliza hilos de correo electrónico robados para darles un velo de legitimidad y obligar a los usuarios desprevenidos a abrir archivos adjuntos.

Además, el idioma utilizado en los mensajes de respuesta coincide con el idioma utilizado en el hilo de correo electrónico original, lo que muestra el caso de la localización dinámica introducida para aumentar la probabilidad de éxito de la campaña. Los primeros cinco idiomas utilizados para entregar el cargador son el inglés (76 %), seguido del francés (10 %), el alemán (7 %), el holandés (4 %) y el polaco (3 %).

Qakbot y ataque de cobalto

El volumen de distribución de correo electrónico que explota la nueva amenaza alcanzó su punto máximo alrededor del 26 de septiembre, según los datos recopilados por una empresa de seguridad cibernética.

Si bien los servidores web comprometidos anteriormente, que ejecutan principalmente versiones del sistema de administración de contenido (CMS) de WordPress, actúan como una infraestructura para la distribución de malware, una técnica interesante observada es el uso de secuencias de comandos «antibot» para bloquear solicitudes web que provienen de direcciones IP que no no pertenecen a la víctima, sino a plataformas analíticas automatizadas y organizaciones de investigación de seguridad.

El cargador de malware, además de implementar Qakbot y la infame herramienta de prueba de penetración Cobalt Strike en puntos finales infectados, también se comunica con un atacante controlado por un servidor remoto para recuperar datos secundarios, lo que la convierte en una herramienta multipropósito eficaz.

«Tras la eliminación de la botnet Emotet a principios de este año, los actores criminales están llenando este vacío», dijo Zscaler en un análisis del mismo malware el mes pasado. «SQUIRRELWAFFLE parece ser un nuevo cargador que aprovecha esta brecha. Todavía no está claro si SQUIRRELWAFFLE es desarrollado y distribuido por un actor de amenazas conocido o por un nuevo grupo. Sin embargo, Emotet utilizó técnicas de distribución similares».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática