因Squirrelwaffle的興起,銀行木馬QBot卷土重來(lái)
據(jù)bleeping computer消息,此前一度登上世界前十的銀行木馬QBot正卷土重來(lái),多家安全研究公司的分析師將此歸因于 Squirrelwaffle 的興起。
資料顯示,Qbot木馬是一種Windows銀行木馬,具有蠕蟲(chóng)功能,至少?gòu)?009年開(kāi)始活躍,用于竊取銀行憑證,個(gè)人信息和財(cái)務(wù)數(shù)據(jù)。因此,Qbot木馬常被用于竊取銀行證書(shū)和金融數(shù)據(jù),以及記錄用戶的鍵盤(pán)、部署后門(mén),并在受到攻擊的設(shè)備上投放額外的惡意軟件。
自2009年開(kāi)始活躍以來(lái),Qbot木馬一直在不斷更新,給多家銀行造成嚴(yán)重經(jīng)濟(jì)損失。例如在2002年6月,攻擊者就曾利用Qbot木馬有效載荷對(duì)美國(guó)多家銀行發(fā)起持續(xù)攻擊,共竊取了數(shù)十家美國(guó)金融機(jī)構(gòu)客戶的憑證。其中包括摩根大通、花旗銀行、美國(guó)銀行、富國(guó)銀行等全球知名銀行。
Qbot 還有一個(gè)危險(xiǎn)的新特性:專(zhuān)用電子郵件收集器模塊。該模塊可從受害者的 Outlook 客戶端提取電子郵件線程,并將其上傳到外部遠(yuǎn)程服務(wù)器。借此,Qbot 能夠劫持受感染用戶的合法電子郵件對(duì)話,然后利用這些被劫持的電子郵件發(fā)送垃圾信息,從而提高誘騙其他用戶感染的幾率。
Qbot 還支持其控制器連接到受害者的電腦,以實(shí)施未經(jīng)授權(quán)的銀行交易。Qbot木馬因此兇名在外,2020年8月,全球知名網(wǎng)絡(luò)安全公司Check Point®發(fā)布了《全球威脅指數(shù)》,首次將新型Qbot 變種木馬排在十大惡意軟件指數(shù)排行榜榜首。
2021年,隨著越來(lái)越多的企業(yè)注意到Qbot木馬,其活躍度逐漸降低。但是,安全研究人員近段時(shí)間又發(fā)現(xiàn),因?yàn)橐环N名為Squirrelwaffle 惡意軟件的興起,Qbot木馬活躍度再次上升。
借著SquirrelWaffle再次興起
Squirrelwaffle是一種新型惡意軟件,它為攻擊者提供了一個(gè)進(jìn)攻的橋頭堡,以及投放惡意軟件感染互聯(lián)網(wǎng)和設(shè)備的方法。
2021年10月,有安全專(zhuān)家預(yù)測(cè),Squirrelwaffle惡意軟件是最有可能填補(bǔ)Emotet留下的空白市場(chǎng),如今這一預(yù)言已經(jīng)變成了現(xiàn)實(shí),不僅如此還讓Qbot木馬重出江湖。
據(jù)悉,Squirrelwaffle出現(xiàn)于2021年9月,主要是通過(guò)垃圾郵件活動(dòng)進(jìn)行傳播,主要的語(yǔ)言是英語(yǔ),但也會(huì)使用法語(yǔ)、德語(yǔ)、荷蘭語(yǔ)、波蘭語(yǔ)等發(fā)送電子郵件。自出道后,該勒索軟件表現(xiàn)出極強(qiáng)的感染性,其分發(fā)量也在9月底達(dá)到了峰值。
日前,Sentinel Labs發(fā)布了一份關(guān)于SquirrelWaffle加載器崛起的報(bào)告,當(dāng)它進(jìn)攻的橋頭堡建立之后,隨即開(kāi)始傳播Qakbot木馬。
Minerva Labs的安全研究人員也發(fā)現(xiàn)了類(lèi)似的問(wèn)題,他們給出了整個(gè)過(guò)程,如下圖所示:
安全研究人員表示,SquirrelWaffle還會(huì)使用VBA宏執(zhí)行PowerShell命令,檢索其有效負(fù)載并啟動(dòng)它。
松鼠狼還使用VBA宏執(zhí)行PowerShell命令,檢索其有效負(fù)載并啟動(dòng)它。和它前輩Emotet廣撒網(wǎng)釣魚(yú)不同的是,SquirrelWaffle在制作釣魚(yú)郵件上顯的更加上心,常根據(jù)受害者的情況發(fā)起針對(duì)性攻擊,因此中招的概率相對(duì)更高。
此外,SquirrelWaffle團(tuán)伙還非常舍得下本錢(qián),他們常把郵件偽裝的工作外包給這方面的“專(zhuān)家”,這部分人更加擅長(zhǎng)社會(huì)工程學(xué),因此釣魚(yú)郵件看起來(lái)十分真實(shí),這也是SquirrelWaffle 惡意軟件能夠肆虐全球的核心原因之一。
參考來(lái)源:
https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/
