Ancaman malware baru bernama Squirrelwaffle telah muncul di alam liar, mendukung aktor dengan pijakan awal dan cara untuk menjatuhkan malware ke sistem dan jaringan yang disusupi.
Alat malware baru menyebar melalui kampanye spam yang menjatuhkan Qakbot dan Cobalt Strike di kampanye terbaru. Ditemukan oleh para peneliti di Cisco Talos, Squirrelwaffle adalah salah satu alat yang muncul sebagai pengganti Emotet tak lama setelah gangguan penegakan hukum pada botnet yang banyak digunakan.
Ancaman baru ini pertama kali muncul pada September 2021, dengan volume distribusi memuncak pada akhir bulan itu. Sementara kampanye spam terutama menggunakan kampanye email rantai balasan curian dalam bahasa Inggris, pelaku ancaman juga menggunakan email Prancis, Jerman, Belanda, dan Polandia.
Email ini berisi hyperlink ke arsip ZIP berbahaya yang dihosting di server web yang dikendalikan penyerang dan biasanya menyertakan lampiran .doc atau .xls berbahaya yang menjalankan kode penghapus malware jika dibuka.
Pada beberapa dokumen yang diambil sampelnya dan dianalisis oleh peneliti Talos, para aktor menggunakan platform penandatanganan DocuSign sebagai umpan untuk mengelabui penerima agar mengaktifkan makro di suite MS Office mereka.
Kode yang terkandung memanfaatkan pembalikan string untuk kebingungan, menulis skrip VBS ke %PROGRAMDATA%, dan menjalankannya.
Tindakan ini mengambil Squirrelwaffle dari salah satu dari lima URL hardcode, mengirimkannya dalam bentuk file DLL ke sistem yang disusupi.
Squirrelwaffle loader kemudian menyebarkan malware seperti Qakbot atau alat pengujian penetrasi Cobalt Strike yang banyak disalahgunakan.
Cobalt Strike adalah alat pengujian penetrasi yang sah yang dirancang sebagai kerangka kerja serangan untuk menguji infrastruktur organisasi untuk menemukan celah keamanan dan kerentanan.
Namun, versi Cobalt Strike yang retak juga digunakan oleh pelaku ancaman (biasanya terlihat digunakan selama serangan ransomware) untuk tugas pasca-eksploitasi setelah menggunakan beacon, yang memberi mereka akses jarak jauh yang terus-menerus ke perangkat yang disusupi.
Squirrelwaffle juga menampilkan daftar blokir IP yang diisi dengan perusahaan riset keamanan terkemuka sebagai cara untuk menghindari deteksi dan analisis.
Semua komunikasi antara Squirrelwaffle dan infrastruktur C2 dienkripsi (XOR+Base64) dan dikirim melalui permintaan HTTP POST.
Pelaku ancaman memanfaatkan server web yang sebelumnya disusupi untuk mendukung aspek distribusi file dari operasi mereka, dengan sebagian besar situs ini menjalankan WordPress 5.8.1.
Di server ini, musuh menyebarkan skrip “antibot” yang membantu mencegah deteksi dan analisis topi putih.
Aktor mapan lainnya telah menerapkan beberapa metode yang tercakup dalam laporan Cisco Talos di masa lalu.
Dengan demikian, Squirrelwaffle mungkin merupakan reboot Emotet oleh anggota yang menghindari penegakan hukum atau pelaku ancaman lain yang mencoba mengisi kekosongan yang ditinggalkan oleh malware terkenal.
Karena pemanfaatannya yang meningkat, Cisco Talos menyarankan semua organisasi dan profesional keamanan untuk mengetahui TTP yang digunakan dalam kampanye malware ini.
Source: Bleeping Computer
