【安全资讯】传播Squirrelwaffle恶意软件的垃圾邮件活动

引言

Squirrelwaffle是一种新兴的恶意软件，可以为攻击者提供对系统及其网络环境的初步立足点，还可以用来部署其他恶意软件，如Qakbot 恶意软件和渗透测试工具Cobalt Strike。近日，研究人员发现了通过垃圾邮件传播Squirrelwaffle的恶意活动。

简况

研究人员自2021年9月观察到传播Squirrelwaffle恶意软件的恶意文档分布图如下：

最初的攻击媒介是带有恶意链接的网络钓鱼电子邮件，单击文档中的 URL 时，会下载一个ZIP存档的恶意文档。恶意文档使用AutoOpen VBA功能进行了武器化。恶意文档在打开后会释放一个包含混淆Powershell的 VBS 文件。释放的 VBS 脚本通过exe调用以下载恶意 DLL。下载的DLL通过带有导出函数“ ldr ”的exe执行。感染链如下图：

Microsoft Office默认禁用宏运行，因此攻击者提供了一个诱饵图像来欺骗受害者启用宏。恶意文档如下图：

Word 文档中的 VBA Userform Label 组件用于存储 VBS 文件所需的所有内容。用户表单的标签框“ t2 ”在其标题中有 VBS 代码。 释放的VBS脚本经过混淆处理，包含 5 个带有负载的 URL。该脚本循环运行以使用powershell下载有效负载。

总结

Office文档已经成为日常生活和办公中广泛使用的一款工具，因此攻击者经常会滥用office文档分发恶意软件。通过恶意文档分布图可以看出，传播Squirrelwaffle恶意软件的攻击活动已经严重影响了我国用户，因此用户在办公时应谨慎打开未知来源的邮件，以免感染恶意软件。