Pojawiło się zagrożenie złośliwym oprogramowaniem o nazwie SquirrelWaffle. Szkodnik ten, rozpowszechniany głównie poprzez kampanie spamowe e-mailowe, przedostaje się do sieci korporacyjnych, wprowadzając szkodliwe programy do zaatakowanych systemów.
Dowiedzmy się, w jaki sposób rozprzestrzenia się to złośliwe oprogramowanie i wektory jego ataków. Na końcu artykułu Quantrimang.com poda także 5 wskazówek, które pomogą Ci chronić się przed atakami złośliwego oprogramowania.
Jak rozprzestrzenia się SquirelWaffle?
Nazywane złośliwym oprogramowaniem typu dropper, twórcy SquirrelWaffle dołożyli wszelkich starań, aby było ono trudne do wykrycia i analizy.
SquirrelWaffle rozprzestrzenia się głównie poprzez załączniki dokumentów Microsoft Office w wiadomościach spamowych. W chwili pisania tego tekstu (listopad 2021 r.) odkryto, że źródłem tego szkodliwego oprogramowania są dwa źródła: dokumenty Microsoft Word i arkusze kalkulacyjne Microsoft Excel.
Wektor infekcji rozpoczyna się, gdy ofiara otwiera plik ZIP zawierający złośliwe dokumenty pakietu Office. Makra VBA zawarte w tym pliku pobierają bibliotekę DLL SquirrelWaffle, która następnie jest rozpowszechniana przez wektor do innego zagrożenia o nazwie Cobalt Strike.
Zaobserwowano również, że osoby atakujące mogą wykorzystać platformę podpisywania DocuSign jako przynętę, aby nakłonić odbiorców do włączenia makr w ich pakiecie Microsoft Office.
W jaki sposób SquirrelWaffle wykorzystuje Cobalt Strike?
Cobalt Strike to legalne narzędzie do testowania penetracji
Cobalt Strike to legalne narzędzie do testów penetracyjnych używane przez hakerów białych kapeluszy i zespoły ds. bezpieczeństwa do testowania infrastruktury organizacyjnej, wykrywania luk w zabezpieczeniach i problemów z bezpieczeństwem.
Niestety hakerzy zdobyli Cobalt Strike i zaczęli wykorzystywać to narzędzie jako ładunek drugiego stopnia dla różnych złośliwych programów.
Szkodnik SquirrelWaffle wykorzystuje Cobalt Strike w podobny sposób. Dostarczając frameworkowi Cobalt Strike złośliwe oprogramowanie po infekcji, SquirrelWaffle renderuje exploity , takie jak trwały zdalny dostęp do zainfekowanych urządzeń.
5 wskazówek, jak chronić się przed atakami złośliwego oprogramowania
Chroń swój system przed SquirrelWaffle i innymi potencjalnymi atakami złośliwego oprogramowania
Oto 5 wskazówek, które pomogą Ci chronić się przed SquirrelWaffle i innymi potencjalnymi atakami złośliwego oprogramowania:
1. Uważaj na załączone pliki
Najważniejszą obroną przed wszelkiego rodzaju złośliwym oprogramowaniem jest ostrożność podczas otwierania podejrzanych załączników.
Większość dobrze spreparowanych złośliwych programów, takich jak ataki typu phishing , można łatwo oszukać ofiary, a ich zidentyfikowanie może wymagać dużej wiedzy technicznej. Atak typu phishing nakłania ludzi do otwarcia łącza lub wiadomości e-mail, która może pochodzić z legalnego źródła. Po otwarciu link może przenieść ofiarę na fałszywą stronę internetową, poprosić ją o podanie osobistych danych logowania lub przenieść ją na stronę internetową, która bezpośrednio infekuje jej urządzenie złośliwym oprogramowaniem.
Dlatego zachowaj ostrożność podczas otwierania załączników i nie klikaj ich, chyba że masz całkowitą pewność co do ich pochodzenia.
2. Zainstaluj oprogramowanie antywirusowe
Inwestycja w solidne oprogramowanie antywirusowe i zabezpieczenia punktów końcowych ma kluczowe znaczenie dla minimalizacji ataków wywołanych złośliwym oprogramowaniem. Niektóre rozwiązania antywirusowe potrafią wykryć niebezpieczne złośliwe oprogramowanie i uniemożliwić jego pobranie.
Narzędzia te mogą również umożliwiać przeglądanie zainfekowanych urządzeń, a nawet wysyłanie komunikatów ostrzegawczych, gdy użytkownicy przypadkowo odwiedzą niebezpieczną witrynę internetową. Większość dzisiejszego oprogramowania antywirusowego oferuje również automatyczne aktualizacje, aby zapewnić lepszą ochronę przed nowo utworzonymi wirusami.
3. Zwróć uwagę na IoC
Czasami oprogramowanie antywirusowe nie jest wyposażone w funkcje wykrywania złośliwego oprogramowania lub złośliwe oprogramowanie może być zbyt nowe i trudne do wykrycia, jak ma to miejsce w przypadku SquirrelWaffle.
Jeśli znajdziesz się w takiej sytuacji, najlepiej zwrócić uwagę na wskaźniki kompromisu (IoC).
IoC jest dla Ciebie wskazówką, że Twoje urządzenie jest zainfekowane złośliwym oprogramowaniem. Na przykład możesz zauważyć nietypowe zachowanie, takie jak różnice geograficzne na urządzeniach, wzrost liczby odczytów baz danych lub wyższe współczynniki uwierzytelniania w sieci itp.
4. Regularnie aktualizuj oprogramowanie
Aktualizacje oprogramowania są wydawane w celu rozwiązania wszelkich problemów związanych z bezpieczeństwem, naprawienia błędów oprogramowania, usunięcia luk w zabezpieczeniach starych i nieaktualnych systemów, poprawy funkcjonalności sprzętu i zapewnienia wsparcia dla nowszych modeli urządzeń.
Dlatego oprócz instalacji oprogramowania antywirusowego należy także regularnie je aktualizować. Zapobiegnie to hakerom uzyskania dostępu do Twojego komputera i zainfekowaniu systemu złośliwym oprogramowaniem.
5. Zachowaj ostrożność w przypadku bezpłatnych aplikacji i nieznanych źródeł
Zawsze kupuj i pobieraj aplikacje z wiarygodnych źródeł, ponieważ zmniejsza to ryzyko infekcji złośliwym oprogramowaniem. Renomowane marki podejmują wiele dodatkowych środków, aby mieć pewność, że nie rozpowszechniają aplikacji zainfekowanych złośliwym oprogramowaniem.
Ponadto płatne wersje aplikacji są często bezpieczniejsze niż wersje bezpłatne.
Uwaga : potwierdź autentyczność źródła, sprawdzając pełną nazwę, listę opublikowanych aplikacji i dane kontaktowe w opisie aplikacji w Google Play lub Apple App Store.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
