Aparición de SquirrelWaffle levanta múltiples alarmas

Desde inicios del mes de septiembre ha surgido una nueva amenaza llamada SquirrelWaffle que se ha mantenido en la mira por gran cantidad de investigadores debido a que presenta gran actividad en tan solo dos semanas de operación.

Malware SquirrelWaffle 

SquirrelWaffle es un malware tipo troyano evidenciado recientemente por investigadores a principios de septiembre del 2021. Dentro de sus principales características se destaca por aprovechar la ingeniería social mediante correos de phishing, logrando comprometer los equipos con una cantidad mínima de clics. Esto es llevado a cabo por descargas automáticas de documentos ofimáticos que a su vez desencadenan la descarga de malware el cual permite la toma del control remoto por parte de ciberactores.

Cadena de infección

• Se identifica la siguiente secuencia de acción para la cadena de infección:

 Proceso de despliegue:

• Se hace entrega de mail phishing, dentro de cadenas de correo válidas para el usuario
• Si un usuario hace click, se descarga un archivo ZIP con un documento Word
• Este documento previamente descargado contiene Macros que redireccionan a descargas maliciosas
• Las Macros deben ser permitidas por el usuario de forma similar al ya conocido banner “Habilitar edición”
• Al otorgar permisos, los macros realizan la extracción de un script contenido en el documento
• Este script realiza descargas de archivos .dll (SquirrleWaffle) desde 5 ubicaciones diferentes
• SquirrleWaffle se ejecuta a través de “Rundll32”, un proceso nativo y legítimo de Windows encargado de cargar y ejecutar .dll
• Luego de ejecutado, procede con la descarga de Cobalt-strike.

Campaña

Tras el gran revuelo que ha causado a lo largo de los días que lleva operativo, los actores detrás de la operación han variado una parte del proceso de infección reemplazando el documento Word por uno de Excel con un nuevo template y el script ya no es ejecutado mediante RUNDLL32, sino que ahora aprovecha REGSVR32 que con una función muy similar es utilizado para cargar y eliminar DLL del sistema.

Respecto a la evidencia obtenida tanto en el proceso de ejecución del malware como en sus indicadores de compromiso, se ha visualizado gran similitud con el ya conocido malware Qakbot. Actualmente no se conoce a ciencia cierta su vinculación o si corresponde a un rebranding, sin embargo, desde múltiples fuentes ha sido mencionado como su “hermano mayor” debido a los indicadores de compromiso reutilizados para esta campaña y sus similares técnicas de acceso inicial.

Se ha observado además que como último proceso de infección se ha desplegado Cobalt-Strike y tal como lo mencionamos en “Herramientas y frameworks a disposición de ciberdelincuentes“, este framework es ampliamente utilizado por ciberactores en sus campañas para el despliegue de ransomware, exfiltración de información, el espionaje y ademas la  creación de botnets  para campañas de mayor envergadura como lo han sido los ataques de DDoS registrados a los gigantes tecnológicos “CloudFlare” y “Yandex”.

Respecto de la información que se maneja se puede evidenciar que con equipos infectados es posible monetizar el ataque de múltiples formas aún más si corresponde a ambientes empresariales llevadas a cabo por extorsión, filtración de documentos y credenciales bancarias, interceptación de documentos bancarios que permitan desviar fondos, creación de botnets que permitan denegar servicios internos o externos, ventas de bases de datos en foros de la red TOR, suplantación de identidades siendo el  peor de los casos y la afectación por Ransomware.

Por otra parte, se ha identificado que los documentos descargados provienen originalmente en lengua Rusa, lo que puede corresponder a su real origen o ser otra parte de sus técnicas de ingeniería social que permitan desviar la atención de sus creadores, técnica comúnmente utilizada en campañas de espionaje, sin embargo debido a su reciente aparición aún no es posible determinar sus reales objetivos, hecho que será confirmado o desmentido de acuerdo a la continuidad de sus operaciones durante los próximos meses.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.