От кога катериците започнаха да харесват вафли? Колкото и да е странно, злонамерен софтуер, наречен SquirrelWaffle, се появи на бреговете на киберсигурността.
Доставя се обикновено чрез спам имейл кампании, този злонамерен софтуер си пробива път в корпоративните мрежи, като пуска злонамерени програми в компрометирани системи.
Нека научим как се разпространява този зловреден софтуер и неговите вектори на атака. Ще използваме и пет съвета, които могат да ви помогнат да останете защитени от атаки на зловреден софтуер.
Как се разпространява SquirelWaffle?
Известен като злонамерен софтуер за капки, разработчиците на SquirrelWaffle са положили допълнителни усилия, за да го запазят скрит и труден за анализ.
SquirrelWaffle се разпространява главно чрез прикачени файлове на документи на Microsoft Office в спам имейли. Към момента на писане през ноември 2021 г. два варианта – документ на Microsoft Word и електронна таблица на Microsoft Excel – бяха открити като източник на доставка за този зловреден софтуер.
Векторът на инфекцията започва, когато жертвите отварят ZIP файл, който съдържа злонамерените документи на Office. VBA макросите в този файл изтеглят SquirrelWaffle DLL, който след това поражда разпространението на друг вектор на заплаха, известен като Cobalt Strike.
Наблюдава се също, че нападателите могат да използват платформата за подписване DocuSign като примамка, за да подмамят получателите да активират макроси в техния пакет Microsoft Office.
Как SquirrelWaffle експлоатира Cobalt Strike?
Cobalt Strike е легитимен инструмент за тестване на проникване, използван от хакери с бели шапки и групи от екипи по сигурността за тестване на инфраструктурата на организацията и за откриване на вратички и уязвимости в сигурността.
За съжаление, хакерите се адаптираха към Cobalt Strike и започнаха да експлоатират инструмента, като го използват като полезен товар от втори етап за много видове зловреден софтуер.
И зловредният софтуер SquirrelWaffle използва Cobalt Strike по подобен начин. Чрез предоставяне на рамката Cobalt Strike със зловреден софтуер след заразяване, SquirrelWaffle изпълнява задачи за експлоатация като получаване на постоянен отдалечен достъп до компрометирани устройства.
5 съвета как да останете защитени срещу атаки на злонамерен софтуер
По-долу са дадени пет съвета, които ще ви помогнат да останете защитени срещу SquirrelWaffle и други потенциални атаки на зловреден софтуер:
1. Внимавайте с прикачените файлове
Защитата номер едно срещу всякакъв вид зловреден софтуер е предпазливостта срещу отварянето на подозрително изглеждащи прикачени файлове.
Повечето добре насочени зловреден софтуер, като напр фишинг атаки, са измамни — и може да отнеме много технически опит, за да ги идентифицираме. Фишинг атака подвежда хората да отворят връзка или имейл, който може да изглежда, че идва от легитимен източник. Веднъж отворена, връзката може да насочи жертвата към фалшив уебсайт, да ги подкани да въведе личните си идентификационни данни или да ги отведе до уебсайт, който директно заразява устройството им със злонамерен софтуер.
Така че, вземете предпазни мерки, когато отваряте прикачени файлове и се въздържайте от щракване върху тях – освен ако не сте напълно сигурни за източника им.
2. Инсталирайте антивирусен софтуер
Инвестиране в стабилен антивирусен софтуер и сигурността на крайната точка е от решаващо значение за смекчаване на атаките на зловреден софтуер. Някои антивирусни решения могат да открият зловреден софтуер и да предотвратят изтеглянето му.
Тези инструменти също могат да осигурят възможност за преглед на компрометирани устройства и дори да изпращат известия за предупреждение, когато потребителят се натъкне на рисков уебсайт. Повечето антивирусни програми днес също предоставят автоматични актуализации, за да осигурят подобрена защита срещу новосъздадени вируси.
3. Внимавайте за индикатори за компромис
Понякога антивирусният софтуер не е оборудван за откриване на злонамерен софтуер или той може да е нов и измамен, какъвто е случаят с SquirrelWaffle.
Ако се окажете в тази ситуация, най-добре е да търсите индикатори за компромис (IoC).
IoC са улики, които ви казват, че вашето устройство е заразено със злонамерен софтуер. Например, може да забележите нередовно поведение като географски несъответствия на вашите устройства, увеличение на четенето на база данни или по-висок процент на опити за удостоверяване във вашата мрежа и т.н.
Свързано: Какво означават индикаторите за компромис? Най-добрите инструменти, които помагат за наблюдението им
4. Актуализирайте софтуера си редовно
Пускат се актуализации на софтуера, за да се решат всички проблеми със сигурността, да се коригират софтуерни грешки, да се премахнат уязвимости от по-стари и остарели системи, подобряват оперативната функционалност на хардуера и предлагат поддръжка за по-нови модели оборудване.
Така че, освен да инсталирате антивирусен софтуер, трябва да актуализирате и софтуера си редовно. Това ще попречи на хакерите да получат достъп до вашия компютър и да го заразят със злонамерен софтуер.
5. Внимавайте с безплатни приложения и неизвестни източници
Винаги купувайте и изтегляйте приложения от надеждни източници, тъй като това намалява вероятността от заразяване със злонамерен софтуер. Реномираните марки предприемат допълнителни мерки, за да гарантират, че не разпространяват приложения, заразени със злонамерен софтуер, тъй като не искат да поставят името си на карта.
Освен това платените версии на приложения като цяло са по-сигурни от безплатните им колеги.
Свързано: Защо трябва да плащате за мобилни приложения
Забележка: Потвърдете автентичността на източник, като проверите пълното име, списъка с публикувани приложения и данните за контакт в описанието на приложението в магазина за приложения на Google Play или Apple.
Лесни начини да победите вафлата с катеричка
Документите на Office често се използват от заплахи за разпространение на зловреден софтуер поради широкото им използване. За да се предпазите от SquirrelWaffle, наложително е да следите всички документи на Microsoft Office, които получавате като прикачени файлове. Също така е добра идея да запазите вашите макроси деактивирани в Office, тъй като този зловреден софтуер се разпространява чрез злонамерени VBA макроси в изтеглените файлове.
Ако наистина трябва да отворите определени прикачени файлове, бъдете разумни към това. Например, вместо да изтегляте прикачени файлове в Gmail, отворете ги в Google Drive, за да защитите компютъра си от потенциален злонамерен софтуер.
Разберете различните причини, поради които Chromebook служи като по-интелигентен избор пред традиционния лаптоп с Windows. Пое ли Chrome OS?
Прочетете Следващото
- Сигурност
- Зловреден софтуер
- Анти-зловреден софтуер
- Съвети за сигурност
- Сигурност
Кинза е технологичен журналист със степен по компютърни мрежи и многобройни ИТ сертификати под колана си. Работила е в телекомуникационната индустрия, преди да се впусне в технически писане. С ниша в киберсигурността и облачните теми, тя обича да помага на хората да разберат и оценят технологиите.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате
