SophosLabs está investigando el uso de la "estación de distribución" del malware Squirrelwaffle en combinación con la ingeniería social. Hubo un doble ataque: los droppers de malware y el fraude financiero se ejecutaron a través del mismo Exchange Server vulnerable. Una guía de incidentes para equipos de seguridad en organizaciones afectadas por Squirrelwaffle.
En einem En un artículo reciente, el equipo de respuesta rápida de Sophos describe un caso en el que el malware Squirrelwaffle explotó un servidor Exchange vulnerable para distribuir spam malicioso a través de hilos de correo electrónico secuestrados.. Al mismo tiempo, los atacantes robaron un hilo de correo electrónico para engañar a los usuarios desprevenidos para que transfirieran dinero.
Combinación de Squirrelwaffle, ProxyLogon y ProxyShell
La combinación de Squirrelwaffle, ProxyLogon y ProxyShell utilizada aquí ha sido observada varias veces por el equipo de respuesta rápida de Sophos en los últimos meses. Sin embargo, este caso es el primero en el que se muestra a los atacantes que utilizan la ocupación de errores tipográficos para mantener la capacidad de enviar spam incluso cuando el servidor de Exchange ha sido parcheado. Al hacerlo, los ciberdelincuentes llevan a los usuarios que cometen un error tipográfico al escribir el nombre de un sitio web a un sitio malicioso controlado por ellos.
Malware Squirrelwaffle e ingeniería social en doble ataque
El ataque actual podría usarse para distribuir Squirrelwaffle en masa a destinatarios internos y externos mediante la inserción de respuestas manipuladas en los hilos de correo electrónico existentes de los empleados de la empresa. Los investigadores de Sophos descubrieron que mientras se ejecutaba la campaña de spam malicioso, el mismo servidor vulnerable también se estaba utilizando para una estafa financiera. Utilizando el conocimiento que los delincuentes obtuvieron de un hilo de correo electrónico robado, utilizaron la ocupación de errores tipográficos para tratar de convencer a los empleados de la empresa afectada de redirigir una transacción de dinero destinada a un cliente a los atacantes. Y el pérfido fraude casi lo consigue: la transferencia a los ciberdelincuentes ya estaba aprobada, pero por suerte un banco sospechó y detuvo la transacción en el último momento.
Parchar solo no es suficiente
Un comentario de Matthew Everts, analista de Sophos Rapid Response y uno de los autores del estudio, dice:
“En un ataque típico de Squirrelwaffle a través de un servidor Exchange vulnerable, el ataque finaliza cuando los defensores descubren y corrigen la vulnerabilidad parcheando las vulnerabilidades y eliminando la capacidad del atacante para enviar correos electrónicos a través del servidor. Sin embargo, en el incidente que investigamos, tal medida no habría impedido el fraude financiero, ya que los atacantes habían exportado un hilo de correo electrónico sobre los pagos de los clientes desde el servidor de Exchange de la víctima. Este es un buen recordatorio de que los parches por sí solos no siempre son suficientes para brindar protección. Por ejemplo, los servidores de Exchange vulnerables también deben asegurarse de que los atacantes no hayan dejado un shell web para mantener el acceso. Y cuando se trata de ataques sofisticados de ingeniería social, como los que se utilizan en el secuestro de hilos de correo electrónico, educar a los empleados sobre qué buscar y cómo informar es fundamental para la detección”.
Ayuda para las empresas afectadas: la Guía de incidentes de Squirrelwaffle
Junto con el artículo actual, Sophos también ha publicado una Guía de incidentes de Squirrelwaffle, que brinda instrucciones paso a paso sobre cómo investigar, analizar y responder a incidentes relacionados con este cargador de malware cada vez más popular. Se distribuye como un documento de Office malicioso en campañas de spam y permite a los ciberdelincuentes obtener un primer punto de apoyo en el entorno de la víctima y crear un canal para proliferar e infectar sistemas con otro malware.
La guía es parte de una serie de guías de incidentes que está produciendo el equipo de respuesta rápida de Sophos para ayudar a los equipos de respuesta a incidentes y operaciones de seguridad a identificar y remediar herramientas, técnicas y comportamientos de amenazas comunes. Se puede descargar de forma gratuita.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.