据bleeping computer消息,此前一度登上世界前十的银行木马QBot由于 Squirrelwaffle 的兴起。
资料显示,Qbot木马是一种Windows具有蠕虫功能的银行木马至少在2009年开始活跃,用于窃取银行凭证、个人信息和财务数据。Qbot木马经常被用来窃取银行证书和金融数据,记录用户的键盘,部署后门,并在被攻击的设备上放置额外的恶意软件。
自2009年开始活跃以来,Qbot木马不断更新,给许多银行造成了严重的经济损失。例如,在2002年6月,攻击者使用了它Qbot木马的有效负荷继续攻击许多美国银行,窃取了数十家美国金融机构客户的凭证。包括摩根大通、花旗银行、美国银行、富国银行等世界知名银行。
Qbot 还有一个危险的新特征:专用电子邮件收集器模块。该模块可以从受害者的 Outlook 客户端提取电子邮件线程并上传到外部远程服务器。Qbot 可以劫持受感染用户的合法电子邮件对话,然后利用这些被劫持的电子邮件发送垃圾信息,从而增加诱导其他用户感染的机会。
Qbot 还支持其控制器连接到受害者的计算机,以实现未经授权的银行交易。Qbot2020年8月,全球知名网络安全公司木马因此出名Check Point®全球威胁指数首次发布Qbot 变种木马在十大恶意软件指数中排名第一。
2021随着越来越多的企业关注年份Qbot木马的活动逐渐减少。然而,安全研究人员最近发现,因为一个名字叫做Squirrelwaffle 恶意软件的兴起,Qbot木马的活动再次上升。
借着SquirrelWaffle再次兴起
Squirrelwaffle它是一种新型的恶意软件,它为攻击者提供了一个进攻桥头堡,以及将恶意软件传播到互联网和设备上的方法。
202110月,安全专家预测,Squirrelwaffle恶意软件最有可能填写Emotet留下的空白市场现在已经成为现实,不仅如此Qbot木马重返江湖。
据悉,Squirrelwaffle它出现于2021年9月,主要通过垃圾邮件活动传播。主要语言是英语,但电子邮件也会用法语、德语、荷兰语和波兰语发送。自首次亮相以来,勒索软件具有很强的传染性,其分发量也在9月底达到了顶峰。
日前,Sentinel Labs发布一份关于SquirrelWaffle当进攻桥头堡建立时,加载器崛起的报告开始传播Qakbot木马。
Minerva Labs在整个过程中,安全研究人员也发现了类似的问题,如下图所示:
安全研究人员说,SquirrelWaffle还会使用VBA宏执行PowerShell检索其有效负载并启动命令。
还使用松鼠狼VBA宏执行PowerShell命令,检索它的有效负载并启动它。以及它的前辈Emotet广撒网钓鱼的区别在于,SquirrelWaffle更注重制作钓鱼邮件,往往根据受害者的情况发起针对性攻击,所以中招的概率相对较高。
此外,SquirrelWaffle团伙也非常愿意花钱。他们经常将伪装邮件的工作外包给这方面“专家”,这些人更擅长社会工程,所以钓鱼邮件看起来很真实,这也是SquirrelWaffle 恶意软件肆虐世界的核心原因之一。
参考来源:
https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/