Od kiedy wiewiórki polubiły gofry? Co dziwne, u wybrzeży cyberbezpieczeństwa pojawiło się złośliwe oprogramowanie o nazwie SquirrelWaffle.
Dostarczane na ogół za pośrednictwem kampanii spamowych e-mail, to złośliwe oprogramowanie wdziera się do sieci korporacyjnych, upuszczając złośliwe programy do zaatakowanych systemów.
Dowiedzmy się, jak rozprzestrzenia się to złośliwe oprogramowanie i jakie są jego wektory ataku. Skorzystamy również z pięciu wskazówek, które pomogą Ci chronić się przed atakami złośliwego oprogramowania.
Jak rozprzestrzenia się SquirelWaffle?
Znane jako złośliwe oprogramowanie typu dropper, twórcy SquirrelWaffle dołożyli dodatkowych starań, aby było ukryte i trudne do analizy.
SquirrelWaffle rozprzestrzenia się głównie poprzez załączniki dokumentów Microsoft Office w wiadomościach spamowych. W momencie pisania tego tekstu, w listopadzie 2021 r., jako źródło dostarczania tego złośliwego oprogramowania odkryto dwa warianty — dokument Microsoft Word i arkusz kalkulacyjny Microsoft Excel.
Wektor infekcji rozpoczyna się, gdy ofiary otwierają plik ZIP zawierający złośliwe dokumenty pakietu Office. Makra VBA w tym pliku pobierają bibliotekę DLL SquirrelWaffle, która następnie tworzy dystrybucję innego wektora zagrożeń znanego jako Cobalt Strike.
Zauważono również, że osoby atakujące mogą wykorzystać platformę do podpisywania DocuSign jako przynętę, aby nakłonić odbiorców do włączenia makr w ich pakiecie Microsoft Office.
Jak SquirrelWaffle wykorzystuje kobaltowe uderzenie?
Cobalt Strike to legalne narzędzie do testowania penetracji używane przez hakerzy w białym kapeluszu oraz grupy zespołów ds. bezpieczeństwa w celu przetestowania infrastruktury organizacji oraz wykrycia luk i luk w zabezpieczeniach.
Niestety, hakerzy dostosowali się do Cobalt Strike i zaczęli wykorzystywać to narzędzie jako ładunek drugiego etapu dla wielu rodzajów złośliwego oprogramowania.
Z kolei złośliwe oprogramowanie SquirrelWaffle wykorzystuje Cobalt Strike w podobny sposób. Dostarczając pełną złośliwego oprogramowania platformę Cobalt Strike po infekcji, SquirrelWaffle wykonuje zadania związane z eksploatacją, takie jak uzyskiwanie stałego zdalnego dostępu do zhakowanych urządzeń.
5 wskazówek, jak chronić się przed atakami złośliwego oprogramowania
Poniżej znajduje się pięć wskazówek, które pomogą Ci zachować ochronę przed SquirrelWaffle i innymi potencjalnymi atakami złośliwego oprogramowania:
1. Uważaj na załączniki
Ochrona numer jeden przed wszelkiego rodzaju złośliwym oprogramowaniem polega na ostrożności przed otwieraniem podejrzanie wyglądających załączników.
Większość dobrze ukierunkowanych złośliwych programów, takich jak ataki phishingowe, oszukują — a ich zidentyfikowanie może wymagać dużej wiedzy technicznej. Atak phishingowy nakłania ludzi do otwarcia łącza lub wiadomości e-mail, które mogą wyglądać na pochodzące z legalnego źródła. Po otwarciu odsyłacz może skierować ofiarę na fałszywą stronę internetową, skłonić ją do wprowadzenia swoich danych uwierzytelniających lub przenieść ją na stronę internetową, która bezpośrednio infekuje ich urządzenie złośliwym oprogramowaniem.
Dlatego podejmuj środki ostrożności podczas otwierania załączników i nie klikaj ich — chyba że masz całkowitą pewność co do ich źródła pochodzenia.
2. Zainstaluj oprogramowanie antywirusowe
Inwestować w solidne oprogramowanie antywirusowe bezpieczeństwo punktów końcowych ma kluczowe znaczenie w ograniczaniu ataków złośliwego oprogramowania. Niektóre rozwiązania antywirusowe mogą wykrywać złośliwe oprogramowanie i zapobiegać jego pobieraniu.
Narzędzia te mogą również zapewnić możliwość przeglądania zhakowanych urządzeń, a nawet wysyłania powiadomień o alertach, gdy użytkownik natknie się na ryzykowną witrynę. Obecnie większość oprogramowania antywirusowego zapewnia również automatyczne aktualizacje, aby zapewnić lepszą ochronę przed nowo utworzonymi wirusami.
3. Zwróć uwagę na oznaki kompromisu
Czasami oprogramowanie antywirusowe nie jest przystosowane do wykrywania złośliwego oprogramowania lub złośliwe oprogramowanie może być nowe i zwodnicze, jak ma to miejsce w przypadku SquirrelWaffle.
Jeśli znajdziesz się w takiej sytuacji, najlepiej poszukaj wskaźników kompromisu (IoC).
IoC to wskazówki, które informują, że Twoje urządzenie jest zainfekowane złośliwym oprogramowaniem. Na przykład możesz zauważyć nieprawidłowe zachowanie, takie jak rozbieżności geograficzne na urządzeniach, wzrost odczytów bazy danych lub wyższy wskaźnik prób uwierzytelnienia w sieci itp.
Związane z: Co oznaczają wskaźniki kompromisu? Najlepsze narzędzia pomagające je monitorować
4. Regularnie aktualizuj oprogramowanie
Aktualizacje oprogramowania są publikowane w celu rozwiązania wszelkich problemów związanych z bezpieczeństwem, naprawiania błędów oprogramowania, usuwania luk w zabezpieczeniach starszych i przestarzałych systemów, poprawiają funkcjonalność operacyjną sprzętu i oferują wsparcie dla nowszych modeli sprzętu.
Dlatego oprócz instalowania oprogramowania antywirusowego należy również regularnie aktualizować oprogramowanie. Uniemożliwi to hakerom uzyskanie dostępu do Twojego komputera i zainfekowanie go złośliwym oprogramowaniem.
5. Uważaj na bezpłatne aplikacje i nieznane źródła
Zawsze kupuj i pobieraj aplikacje z wiarygodnych źródeł, ponieważ zmniejsza to ryzyko infekcji złośliwym oprogramowaniem. Renomowane marki podejmują dodatkowe środki, aby upewnić się, że nie rozpowszechniają aplikacji zainfekowanych złośliwym oprogramowaniem, ponieważ nie chcą ryzykować swojej nazwy.
Ponadto płatne wersje aplikacji są zazwyczaj bezpieczniejsze niż ich bezpłatne odpowiedniki.
Związane z: Dlaczego powinieneś płacić za aplikacje mobilne
Notatka: Potwierdź autentyczność źródła, sprawdzając pełną nazwę, listę opublikowanych aplikacji i dane kontaktowe w opisie aplikacji w sklepie z aplikacjami Google Play lub Apple.
Proste sposoby na pokonanie wiewiórkiWafel
Dokumenty pakietu Office są często wykorzystywane przez cyberprzestępców do rozprzestrzeniania złośliwego oprogramowania ze względu na ich powszechne użycie. Aby zabezpieczyć się przed SquirrelWaffle, konieczne jest zwracanie uwagi na wszystkie dokumenty Microsoft Office, które otrzymujesz jako załączniki. Dobrym pomysłem jest również wyłączenie makr w pakiecie Office, ponieważ to złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem złośliwych makr VBA w pobranych plikach.
Jeśli naprawdę potrzebujesz otworzyć określone załączniki, bądź mądry. Na przykład zamiast pobierać załączniki w Gmailu, otwieraj je na Dysku Google, aby chronić komputer przed potencjalnym złośliwym oprogramowaniem.
Poznaj różne powody, dla których Chromebooki są lepszym wyborem niż tradycyjny laptop z systemem Windows. Czy system operacyjny Chrome przejął kontrolę?
Czytaj dalej
- Bezpieczeństwo
- Złośliwe oprogramowanie
- Ochrona przed złośliwym oprogramowaniem
- Wskazówki dotyczące bezpieczeństwa
- Bezpieczeństwo
Kinza jest dziennikarką technologiczną z dyplomem w dziedzinie sieci komputerowych i licznymi certyfikatami IT na swoim koncie. Pracowała w branży telekomunikacyjnej, zanim zajęła się pisaniem technicznym. Z niszą w dziedzinie cyberbezpieczeństwa i tematów związanych z chmurą lubi pomagać ludziom zrozumieć i docenić technologię.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować