因Squirrelwaffle的兴起,银行木马QBot卷土重来

安全 应用安全
日前,Sentinel Labs发布了一份关于SquirrelWaffle加载器崛起的报告,当它进兴起之后,随即开始传播Qakbot木马。

据bleeping computer消息,此前一度登上世界前十的银行木马QBot正卷土重来,多家安全研究公司的分析师将此归因于 Squirrelwaffle 的兴起。

资料显示,Qbot木马是一种Windows银行木马,具有蠕虫功能,至少从2009年开始活跃,用于窃取银行凭证,个人信息和财务数据。因此,Qbot木马常被用于窃取银行证书和金融数据,以及记录用户的键盘、部署后门,并在受到攻击的设备上投放额外的恶意软件。

[[435251]]

自2009年开始活跃以来,Qbot木马一直在不断更新,给多家银行造成严重经济损失。例如在2002年6月,攻击者就曾利用Qbot木马有效载荷对美国多家银行发起持续攻击,共窃取了数十家美国金融机构客户的凭证。其中包括摩根大通、花旗银行、美国银行、富国银行等全球知名银行。

Qbot 还有一个危险的新特性:专用电子邮件收集器模块。该模块可从受害者的 Outlook 客户端提取电子邮件线程,并将其上传到外部远程服务器。借此,Qbot 能够劫持受感染用户的合法电子邮件对话,然后利用这些被劫持的电子邮件发送垃圾信息,从而提高诱骗其他用户感染的几率。

Qbot 还支持其控制器连接到受害者的电脑,以实施未经授权的银行交易。Qbot木马因此凶名在外,2020年8月,全球知名网络安全公司Check Point®发布了《全球威胁指数》,首次将新型Qbot 变种木马排在十大恶意软件指数排行榜榜首。

2021年,随着越来越多的企业注意到Qbot木马,其活跃度逐渐降低。但是,安全研究人员近段时间又发现,因为一种名为Squirrelwaffle 恶意软件的兴起,Qbot木马活跃度再次上升。

借着SquirrelWaffle再次兴起

Squirrelwaffle是一种新型恶意软件,它为攻击者提供了一个进攻的桥头堡,以及投放恶意软件感染互联网和设备的方法。

2021年10月,有安全专家预测,Squirrelwaffle恶意软件是最有可能填补Emotet留下的空白市场,如今这一预言已经变成了现实,不仅如此还让Qbot木马重出江湖。

据悉,Squirrelwaffle出现于2021年9月,主要是通过垃圾邮件活动进行传播,主要的语言是英语,但也会使用法语、德语、荷兰语、波兰语等发送电子邮件。自出道后,该勒索软件表现出极强的感染性,其分发量也在9月底达到了峰值。

日前,Sentinel Labs发布了一份关于SquirrelWaffle加载器崛起的报告,当它进攻的桥头堡建立之后,随即开始传播Qakbot木马。

Minerva Labs的安全研究人员也发现了类似的问题,他们给出了整个过程,如下图所示:

安全研究人员表示,SquirrelWaffle还会使用VBA宏执行PowerShell命令,检索其有效负载并启动它。

松鼠狼还使用VBA宏执行PowerShell命令,检索其有效负载并启动它。和它前辈Emotet广撒网钓鱼不同的是,SquirrelWaffle在制作钓鱼邮件上显的更加上心,常根据受害者的情况发起针对性攻击,因此中招的概率相对更高。

此外,SquirrelWaffle团伙还非常舍得下本钱,他们常把邮件伪装的工作外包给这方面的“专家”,这部分人更加擅长社会工程学,因此钓鱼邮件看起来十分真实,这也是SquirrelWaffle 恶意软件能够肆虐全球的核心原因之一。

参考来源:

https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-08-12 12:09:08

Android平台银行木马勒索攻击

2023-10-23 10:43:48

2023-12-27 11:41:21

2024-06-26 12:21:08

2024-08-12 09:32:12

2021-02-08 23:25:40

DanaBot恶意软件木马

2017-02-15 08:20:13

2021-04-08 09:07:11

VR互联网发展虚拟现实

2011-12-21 16:41:38

2011-08-03 15:04:42

2017-11-14 09:28:05

2023-04-18 18:59:13

2012-05-11 09:39:23

云存储Google

2009-07-21 16:59:19

数据中心IBM刀片服务器

2013-09-24 10:15:06

2011-03-09 10:52:55

360黑客

2022-08-18 15:59:59

勒索软件黑客

2017-06-07 15:32:15

PCProsumer笔记本

2015-09-21 09:23:50

点赞
收藏

51CTO技术栈公众号