Aktivitas trojan perbankan QBot (juga dikenal sebagai Quakbot) melonjak lagi, Beberapa perusahaan riset keamanan mengaitkannya dengan munculnya Squirrelwaffle.
Squirrelwaffle muncul mengisi kekosongan yang ditinggalkan oleh penghapusan Emotet, prediksi ini dengan cepat dikonfirmasi.
TrendMicro telah mengamati kampanye distribusi baru untuk QBot yang mengandalkan makro Visual Basic Macros (VBA) dalam dokumen Microsoft Word yang dikirim sebagai lampiran dalam email phishing.
Sumber: TrendMicro
Korban masih harus membuka dokumen secara manual dan “Aktifkan Konten” di suite Microsoft Office mereka untuk membiarkan kode makro berjalan, menjatuhkan muatan QBot pada sistem.
Qbot juga dikenal bermitra dengan operasi ransomware untuk memberi mereka akses awal ke jaringan. QBot sebelumnya telah berkolaborasi dengan geng ransomware untuk menyebarkan strain REvil, Egregor, ProLock, PwndLocker, dan MegaCortex.
Kita tidak boleh lupa bahwa bahkan jika kompromi ini tidak pernah berkembang menjadi peristiwa enkripsi file, QBot dapat melakukan kerusakan signifikan dengan sendirinya.
Modul tambahan yang diunduh oleh malware QBot dapat mengambil cookie browser, kata sandi, email, menjatuhkan Cobalt Strike, mengaktifkan gerakan lateral, dan mengubah mesin yang terinfeksi menjadi proxy untuk lalu lintas C2.
Sentinel Labs menerbitkan munculnya pemuat malware SquirrelWaffle, menghubungkannya langsung ke QBot, yang dijatuhkan sebagai malware tahap kedua. Para peneliti di Minerva Labs juga telah menarik kesimpulan serupa, Lihat skema pengiriman berikut:
Sumber: Minerva Labs
SquirrelWaffle juga menggunakan makro VBA untuk menjalankan perintah PowerShell yang mengambil muatannya dan meluncurkannya.
Pembuatan email phishing yang lebih meyakinkan dapat dialihdayakan atau diselesaikan dengan cepat dengan menghubungi ahli di bagian operasi phishing tersebut, yang menyebabkan jumlah infeksi SquirrelWaffle yang lebih signifikan.
Selengkapnya : Bleeping Computer
