Claudia Rincón Pérez nos dice que ha surgido una nueva campaña de correo electrónico no deseado como un conducto para un cargador de malware previamente indocumentado que permite a los atacantes obtener un punto de apoyo inicial en las redes empresariales y lanzar cargas útiles maliciosas en los sistemas comprometidos.
"Estas infecciones también se utilizan para facilitar la entrega de malware adicional como Qakbot y Cobalt Strike, dos de las amenazas más comunes que se observan regularmente en organizaciones de todo el mundo", dijeron los investigadores de Cisco Talos en un informe técnico.
Se cree que la campaña de malspam comenzó a mediados de septiembre de 2021 a través de documentos de Microsoft Office enlazados que, cuando se abren, desencadenan una cadena de infección que lleva a que las máquinas se infecten con un malware denominado SQUIRRELWAFFLE .
Reflejando una técnica que es consistente con otros ataques de phishing de este tipo, la última operación aprovecha los hilos de correo electrónico robados para darle un velo de legitimidad y engañar a los usuarios desprevenidos para que abran los archivos adjuntos.
Además, el idioma empleado en los mensajes de respuesta coincide con el idioma utilizado en el hilo de correo electrónico original, lo que demuestra un caso de localización dinámica implementada para aumentar la probabilidad de éxito de la campaña. Los cinco idiomas principales utilizados para entregar el cargador son inglés (76%), seguido del francés (10%), alemán (7%), holandés (4%) y polaco (3%).