Chaque jour, HarfangLab analyse et collecte des informations sur ces menaces et nous souhaiterions vous faire profiter de ce travail en vous proposant dès que nécessaire un focus sur ces nouveaux dangers.
Pour ce premier bulletin, nous aborderons un petit nouveau repéré récemment et qui commence à s’attaquer aux entreprises françaises : Squirrelwaffle.
Squirrelwaffle est une menace de logiciel malveillant émergente, initialement signalée par plusieurs chercheurs en sécurité aux alentours du 13 septembre.
La méthode de propagation actuelle est un lien, envoyé par courriel, pointant sur une archive au format ZIP. Cette archive contient un document Office qui, via l’activation des macros, entraine l’exécution d’un script VBS dont l’objectif est le téléchargement puis l’exécution d’une bibliothèque dynamique (DLL).
Par la suite, il est probable que d’autres charges soient descendues sur le poste mais ce code malveillant étant très récent il est encore difficile d’avoir du recul même si en source ouverte certaines personnes évoquent des charges basées sur du Cobalt Strike.
Jeudi dernier HarfangLab EDR a détecté ce malware chez un de ses clients.
L’attaque potentielle a été vite écarté pour notre équipe CTI avec les actions suivantes :
Isolement des deux postes touchés
Blocage des adresses IP liées aux serveur ‘command & control’ via édition de règles de Threat Intel
Mise en blocage de certaines règles de détection
Sans pour autant présumer de sa propagation, il est clair que cette nouvelle menace est très dangereuse car elle appartient à la catégorie des chevaux de Troie.
L’équipe CTI de HarfangLab se tient à votre disposition pour tout complément d’information ou des données techniques plus précises.