據(jù)bleeping computer消息，此前一度登上世界前十的銀行木馬QBot正卷土重來，多家安全研究公司的分析師將此歸因于 Squirrelwaffle 的興起。

資料顯示，Qbot木馬是一種Windows銀行木馬，具有蠕蟲功能，至少從2009年開始活躍，用于竊取銀行憑證，個人信息和財務(wù)數(shù)據(jù)。因此，Qbot木馬常被用于竊取銀行證書和金融數(shù)據(jù)，以及記錄用戶的鍵盤、部署后門，并在受到攻擊的設(shè)備上投放額外的惡意軟件。

[[435251]]

自2009年開始活躍以來，Qbot木馬一直在不斷更新，給多家銀行造成嚴(yán)重經(jīng)濟(jì)損失。例如在2002年6月，攻擊者就曾利用Qbot木馬有效載荷對美國多家銀行發(fā)起持續(xù)攻擊，共竊取了數(shù)十家美國金融機(jī)構(gòu)客戶的憑證。其中包括摩根大通、花旗銀行、美國銀行、富國銀行等全球知名銀行。

Qbot 還有一個危險的新特性：專用電子郵件收集器模塊。該模塊可從受害者的 Outlook 客戶端提取電子郵件線程，并將其上傳到外部遠(yuǎn)程服務(wù)器。借此，Qbot 能夠劫持受感染用戶的合法電子郵件對話，然后利用這些被劫持的電子郵件發(fā)送垃圾信息，從而提高誘騙其他用戶感染的幾率。

Qbot 還支持其控制器連接到受害者的電腦，以實施未經(jīng)授權(quán)的銀行交易。Qbot木馬因此兇名在外，2020年8月，全球知名網(wǎng)絡(luò)安全公司Check Point®發(fā)布了《全球威脅指數(shù)》，首次將新型Qbot 變種木馬排在十大惡意軟件指數(shù)排行榜榜首。

2021年，隨著越來越多的企業(yè)注意到Qbot木馬，其活躍度逐漸降低。但是，安全研究人員近段時間又發(fā)現(xiàn)，因為一種名為Squirrelwaffle 惡意軟件的興起，Qbot木馬活躍度再次上升。

借著SquirrelWaffle再次興起

Squirrelwaffle是一種新型惡意軟件，它為攻擊者提供了一個進(jìn)攻的橋頭堡，以及投放惡意軟件感染互聯(lián)網(wǎng)和設(shè)備的方法。

2021年10月，有安全專家預(yù)測，Squirrelwaffle惡意軟件是最有可能填補(bǔ)Emotet留下的空白市場，如今這一預(yù)言已經(jīng)變成了現(xiàn)實，不僅如此還讓Qbot木馬重出江湖。

據(jù)悉，Squirrelwaffle出現(xiàn)于2021年9月，主要是通過垃圾郵件活動進(jìn)行傳播，主要的語言是英語，但也會使用法語、德語、荷蘭語、波蘭語等發(fā)送電子郵件。自出道后，該勒索軟件表現(xiàn)出極強(qiáng)的感染性，其分發(fā)量也在9月底達(dá)到了峰值。

日前，Sentinel Labs發(fā)布了一份關(guān)于SquirrelWaffle加載器崛起的報告，當(dāng)它進(jìn)攻的橋頭堡建立之后，隨即開始傳播Qakbot木馬。

Minerva Labs的安全研究人員也發(fā)現(xiàn)了類似的問題，他們給出了整個過程，如下圖所示：

安全研究人員表示，SquirrelWaffle還會使用VBA宏執(zhí)行PowerShell命令，檢索其有效負(fù)載并啟動它。

松鼠狼還使用VBA宏執(zhí)行PowerShell命令，檢索其有效負(fù)載并啟動它。和它前輩Emotet廣撒網(wǎng)釣魚不同的是，SquirrelWaffle在制作釣魚郵件上顯的更加上心，常根據(jù)受害者的情況發(fā)起針對性攻擊，因此中招的概率相對更高。

此外，SquirrelWaffle團(tuán)伙還非常舍得下本錢，他們常把郵件偽裝的工作外包給這方面的“專家”，這部分人更加擅長社會工程學(xué)，因此釣魚郵件看起來十分真實，這也是SquirrelWaffle 惡意軟件能夠肆虐全球的核心原因之一。

參考來源：

https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/