Nuevo Cargador de Malware Distribuido a Través de Campañas de Spam
Los investigadores de seguridad detectaron una nueva cepa de malware que circula. La nueva amenaza se denomina SquirrelWaffle y se distribuye mediante campañas de spam maliciosas, utilizando documentos de Microsoft Office manipulados.
Los investigadores de la firma de seguridad Cisco Talos detectaron la nueva amenaza en septiembre de 2021. SquirrelWaffle es un cargador, un tipo de malware que se utiliza como una especie de vehículo de entrega, soltando e implementando otro software malicioso en el sistema objetivo.
La campaña de malspam es interesante porque utiliza hilos de correo electrónico secuestrados, y luego los correos electrónicos cargados de malware se envían como respuestas a esos hilos, lo que les da un aspecto más creíble. Los investigadores de Cisco también detectaron similitudes entre la campaña actual de SquirrelWaffle y las campañas anteriores que se utilizaron para difundir el malware Emotet. El equipo de Talos también envió una advertencia a empresas y corporaciones, citando un mayor peligro de infección de las redes corporativas.
Los correos electrónicos de cebo contienen enlaces a archivos comprimidos alojados en sitios web controlados por los piratas informáticos. Aunque el inglés utilizado en el texto del correo electrónico es algo cuestionable, Cisco también notó cierto nivel de adaptación de los mensajes para que coincida con el idioma utilizado anteriormente en el hilo del correo electrónico, lo que significa que hay cierto nivel de adaptación e ingeniería social involucrada.
Los correos electrónicos de SquirrelWaffle también se distribuyen en francés, alemán y polaco, lo que a su vez significa que la campaña no solo está dirigida a grupos demográficos de habla inglesa.
Cisco ha estado monitoreando los picos y caídas de actividad dentro y fuera de la campaña SquirrelWaffle y declaró que el nuevo malware no está tan ampliamente distribuido como Emotet, pero está llegando lentamente. El pico de malspam en la distribución de SquirrelWaffle tuvo lugar a finales de septiembre, con tres picos más en la actividad, ya que no tuvo el mismo gran volumen.
Los archivos de almacenamiento utilizados en el correo electrónico de phishing contienen archivos de MS Office que, cuando se abren, entregan la carga útil final. Los archivos se nombran con nombres significativos y creíbles como "diagrama", "gráfico" o "especificación" para reforzar aún más la confianza de la víctima.