因Squirrelwaffle的兴起,银行木马QBot卷土重来

2021-11-23 15:55:34 浏览数 (1)

据BleepingComputer消息,此前一度登上世界前十的银行木马QBot正卷土重来,多家安全研究公司的分析师将此归因于 Squirrelwaffle 的兴起。

资料显示,Qbot木马是一种Windows银行木马,具有蠕虫功能,至少从2009年开始活跃,用于窃取银行凭证,个人信息和财务数据。因此,Qbot木马常被用于窃取银行证书和金融数据,以及记录用户的键盘、部署后门,并在受到攻击的设备上投放额外的恶意软件。

自2009年开始活跃以来,Qbot木马一直在不断更新,给多家银行造成严重经济损失。例如在2002年6月,攻击者就曾利用Qbot木马有效载荷对美国多家银行发起持续攻击,共窃取了数十家美国金融机构客户的凭证。其中包括摩根大通、花旗银行、美国银行、富国银行等全球知名银行。

Qbot 还有一个危险的新特性:专用电子邮件收集器模块。该模块可从受害者的 Outlook 客户端提取电子邮件线程,并将其上传到外部远程服务器。借此,Qbot 能够劫持受感染用户的合法电子邮件对话,然后利用这些被劫持的电子邮件发送垃圾信息,从而提高诱骗其他用户感染的几率。

Qbot 还支持其控制器连接到受害者的电脑,以实施未经授权的银行交易。Qbot木马因此凶名在外,2020年8月,全球知名网络安全公司Check Point®发布了《全球威胁指数》,首次将新型Qbot 变种木马排在十大恶意软件指数排行榜榜首。

2021年,随着越来越多的企业注意到Qbot木马,其活跃度逐渐降低。但是,安全研究人员近段时间又发现,因为一种名为Squirrelwaffle 恶意软件的兴起,Qbot木马活跃度再次上升。

借着SquirrelWaffle再次兴起

Squirrelwaffle是一种新型恶意软件,它为攻击者提供了一个进攻的桥头堡,以及投放恶意软件感染互联网和设备的方法。

2021年10月,有安全专家预测,Squirrelwaffle恶意软件是最有可能填补Emotet留下的空白市场,如今这一预言已经变成了现实,不仅如此还让Qbot木马重出江湖。

据悉,Squirrelwaffle出现于2021年9月,主要是通过垃圾邮件活动进行传播,主要的语言是英语,但也会使用法语、德语、荷兰语、波兰语等发送电子邮件。自出道后,该勒索软件表现出极强的感染性,其分发量也在9月底达到了峰值。

日前,Sentinel Labs发布了一份关于SquirrelWaffle加载器崛起的报告,当它进攻的桥头堡建立之后,随即开始传播Qakbot木马。

Minerva Labs的安全研究人员也发现了类似的问题,他们给出了整个过程,如下图所示:

安全研究人员表示,SquirrelWaffle还会使用VBA宏执行PowerShell命令,检索其有效负载并启动它。

松鼠狼还使用VBA宏执行PowerShell命令,检索其有效负载并启动它。和它前辈Emotet广撒网钓鱼不同的是,SquirrelWaffle在制作钓鱼邮件上显的更加上心,常根据受害者的情况发起针对性攻击,因此中招的概率相对更高。

此外,SquirrelWaffle团伙还非常舍得下本钱,他们常把邮件伪装的工作外包给这方面的“专家”,这部分人更加擅长社会工程学,因此钓鱼邮件看起来十分真实,这也是SquirrelWaffle 恶意软件能够肆虐全球的核心原因之一。

参考来源

https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/

0 人点赞