Joerg Habermeier - stock.adobe.c

Vous aimez Trickbot, Qbot et IcedID ? Vous allez adorer SquirrelWaffle

Ce nouveau maliciel vient allonger la liste des menaces diffusées par courriel. Et cela à un moment où la trêve estivale semble terminée : les campagnes d’envoi de pourriels malicieux ont repris.

C’est mi-septembre que l’analyste @ffforward a observé la reprise d’activité du botnet dit « TR », connu pour la distribution de Trickbot, avec la distribution d’une nouvelle charge malveillante. Quelques jours plus tard, Brad Duncan relevait la distribution de balises Cobalt Strike par ce biais. La menace portait désormais un nom : SquirrelWaffle. La paternité de ce nom reviendrait à Proofpoint qui a commencé à intégrer des règles de détection pour cette menace émergente le 13 septembre.  

Concrètement, elle se traduit par des documents Office en pièce jointe d’un courriel. Affichant actuellement le logo DocuSign, ceux-ci prétendent que l’activation des macros est nécessaire pour accéder au contenu du document. En cas d’activation des macros, un script Visual Basic se charge de télécharger la charge utile suivante, sous la forme de librairies à chargement dynamique (dll). De là, la machine est compromise. Le maliciel collecte notamment des données au sujet de la machine et communique avec des serveurs de commande et de contrôle.

Mais la charge utile ultime semble, pour l’heure, n’être autre qu’une balise Cobalt Strike : de quoi permettre à un assaillant d’aller plus loin dans la compromission du système d’information. Ces balises sont régulièrement observées jusque lors d’attaques conduisant à la détonation d’un ransomware. D’où l’importance d’essayer de les détecter au plus vite.

Reste que ce nouveau venu sur le terrain des pourriels malicieux (ou malspam, en anglais) n’est pas seul. Le service Abuse.ch relevait ainsi ce lundi 20 septembre une nette reprise de l’activité de Qakbot (aussi appelé Qbot) ; une observation confirmée notamment par Malwarebytes. Rohde & Schwarz Cybersecurity l’évoquait déjà le 10 septembre. Et c’est sans oublier également IcedID (ou Bokbot).

Pour approfondir sur Menaces, Ransomwares, DDoS