据哔哔电脑消息,曾经跻身全球前十的银行木马QBot卷土重来。多家安全研究公司的分析师将此归因于Squirrelwaffle的兴起。资料显示,Qbot木马是一种具有蠕虫功能的Windows银行木马,至少从2009年开始活跃,用于窃取银行凭证、个人信息和财务数据。因此,Qbot特洛伊木马经常被用来窃取银行凭证和财务数据,以及记录用户击键、部署后门以及在受感染的设备上放置其他恶意软件。Qbot木马自2009年活跃以来,不断更新,给多家银行造成了严重的经济损失。例如,2002年6月,攻击者利用Qbot木马载荷对美国多家银行发起连续攻击,窃取了数十家美国金融机构客户的凭证。其中包括摩根大通、花旗银行、美国银行和富国银行等世界知名银行。Qbot还有一个危险的新功能:专用的电子邮件收集器模块。该模块从受害者的Outlook客户端提取电子邮件线程,并将它们上传到外部远程服务器。这允许Qbot劫持受感染用户的合法电子邮件对话,然后使用这些被劫持的电子邮件发送垃圾邮件,增加诱骗其他用户感染的机会。Qbot还使其控制器能够连接到受害者的计算机以执行未经授权的银行交易。这就是Qbot木马声名狼藉的原因。2020年8月,全球知名网络安全公司CheckPoint?发布《全球威胁指数》,Qbot新变种木马首次位列十大恶意软件榜首。2021年,随着越来越多的企业注意到Qbot木马,其活跃度将逐渐下降。然而,安全研究人员最近发现,由于名为Squirrelwaffle的恶意软件的兴起,Qbot木马的活动再次上升。SquirrelWaffle的复活Squirrelwaffle是一种新型的恶意软件,它为攻击者提供了攻击的桥头堡,并提供了一种传递恶意软件以感染Internet和设备的方法。2021年10月,有安全专家预测,Squirrelwaffle恶意软件最有可能填补Emotet留下的空白市场。现在这个预言变成了现实,不仅如此,它还把Qbot木马带回了人间。据悉,Squirrelwaffle于2021年9月出现,主要通过垃圾邮件活动传播。主要语言为英语,但也使用法语、德语、荷兰语、波兰语等发送电子邮件。该勒索病毒自登场以来,就表现出极强的传染性,传播量也在9月底达到顶峰。几天前,SentinelLabs发布了一份关于SquirrelWaffle加载器兴起的报告。其攻击桥头堡一经建立,便立即开始传播Qakbot木马。MinervaLabs的安全研究人员也发现了类似的问题,他们给出了整个过程,如下图所示:Squirrel还使用VBA宏来执行PowerShell命令,检索其有效负载并启动它。与广泛传播钓鱼的前身Emotet不同,SquirrelWaffle在制作钓鱼邮件时更加谨慎,经常根据受害者的情况发起针对性攻击,因此被抓到的概率相对较高。此外,松鼠华夫集团也很舍得花钱。他们经常将电子邮件伪装的工作外包给该领域的“专家”。这些人更擅长社交工程,因此钓鱼邮件看起来非常真实,这也是为什么SquirrelWaffle恶意软件能够肆虐全球的核心原因之一。参考来源:https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/
