Descrizione e potenziali impatti
Dalle attività di monitoraggio è stata individuata una campagna di spam che, a partire dalla metà di settembre 2021, è stata indirizzata per consegnare collegamenti web malevoli.
La predetta campagna, che ha avuto tra gli obiettivi anche utenti italiani, tende ad utilizzare tecniche di fidelizzazione del conferimento che, sulla base di quanto osservato, vengono attuate tramite il riutilizzo di discussioni di precedenti comunicazioni, come già emerso nell’ambito della diffusione del malware Emotet e Qakbot.
Inoltre, ai fini del raggiungimento di un buon grado di riservatezza nei confronti del conferimento, l’indirizzo mittente può essere alterato, tramite la tecnica dello spoofing , in modo da apparire come proveniente da un soggetto noto.
Tale caratteristica suggerisce che gli autori hanno avuto accesso ad informazioni specifiche tramite caselle precedentemente compromesse.
La catena di infezione prevede le seguenti fasi:
- consegna del messaggio di posta contenente un link malevolo;
- scaricamento di un file compresso (.zip) contenente un file Office (.doc o .xls);
- l’eventuale esecuzione del file, armato con macro malevola, determina lo scaricamento locale (%ProgramData%) di un file VBS;
- il file, che contiene uno script offuscato, viene richiamato tramite 5 differenti URL, il malware Squirrelwaffle (payload) sotto forma di DLL che viene eseguito tramite rundll32.exe;
- la fase finale della catena di infezione prevede il contatto dei server di Comando e Controllo (C&C) di Squirrelwaffle per l’ulteriore rilascio del malware Cobalt Strike;
- il payload Cobalt Strike avvia infine le comunicazioni con i server C&C.
Gli autori della campagna tendono ad utilizzare diverse TTP per condurre l’attacco, ad esempio variando il vettore iniziale di infezione che può:
- utilizzare documenti Microsoft Excel dotazione di una macro Auto_Open() nascosta, funzionalità che permette all’apertura del documento di percorsi, stili, collegamenti, condizioni di ambiente predefiniti, utile al downloader Squirrelwafle il quale utilizza numerosi domini per diffondere il malware;
- cambiare la posizione in cui il payload viene salvato sul disco per la successiva esecuzione tramite regsvr32.exe.
ll downloader Squirrelwaffle è costituito da una DLL a 32 bit, dotata di un packer personalizzato avente similarità con quelli osservati in altre famiglie di malware tra cui Ursnif e Zloader. Squirrelwaffle contiene una configurazione crittografata nel binario, costituita da due componenti principali: un elenco di URL riferibili ai C&C e un elenco di indirizzi IP da proteggere in quanto appartenenti ad ambienti sandbox e piattaforme di analisi.
Al momento la campagna risulta essere ancora in corso.
Azioni di Mitigazione
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing ;
- diffidare dalle comunicazioni inattese, prestando sempre attenzione agli URL che si intende visitare.
Si consiglia inoltre di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti in allegato.
Riferimenti
https://www.zscaler.es/blogs/security-research/squirrelwaffle-new-loader-delivering-cobalt-strike