SquirrelWaffle là malware gì? Cách phòng tránh ra sao?

Một mối đe dọa phần mềm độc hại có tên SquirrelWaffle đã xuất hiện. Được phát tán chủ yếu thông qua các chiến dịch email spam, phần mềm độc hại này len lỏi vào các mạng doanh nghiệp bằng cách đưa những chương trình độc hại vào các hệ thống bị xâm nhập.

Hãy cùng tìm hiểu cách phần mềm độc hại này lây lan và các vector tấn công của nó. Cuối bài viết, Quantrimang.com cũng sẽ đưa ra 5 mẹo giúp bạn luôn được bảo vệ khỏi các cuộc tấn công từ phần mềm độc hại.

SquirelWaffle lây lan như thế nào?

Được gọi là dropper malware, những kẻ phát triển của SquirrelWaffle đã giành nhiều nỗ lực để giữ cho nó khó bị phát hiện và phân tích.

SquirrelWaffle chủ yếu lây lan qua các file đính kèm của tài liệu Microsoft Office trong các email spam. Vào thời điểm bài viết (tháng 11 năm 2021), hai nguồn là tài liệu Microsoft Word và bảng tính Microsoft Excel đã được phát hiện là nguồn phát tán phần mềm độc hại này.

Vector lây nhiễm bắt đầu khi nạn nhân mở file ZIP chứa tài liệu Office độc ​​hại. Các macro VBA trong file đó tải xuống SquirrelWaffle DLL, sau đó phân phối của vector cho mối đe dọa khác được gọi là Cobalt Strike.

Người ta cũng quan sát thấy rằng những kẻ tấn công có thể sử dụng nền tảng ký tên DocuSign làm mồi nhử để lừa người nhận bật macro trên bộ công cụ Microsoft Office của họ.

SquirrelWaffle khai thác Cobalt Strike như thế nào?

Cobalt Strike là một công cụ kiểm thử thâm nhập hợp pháp được sử dụng bởi hacker mũ trắng và các nhóm bảo mật để kiểm tra cơ sở hạ tầng của tổ chức, phát hiện các lỗ hổng và vấn đề bảo mật.

Thật không may, tin tặc đã nắm được Cobalt Strike và bắt đầu khai thác công cụ này bằng cách sử dụng nó làm payload giai đoạn hai cho nhiều loại phần mềm độc hại.

Và phần mềm độc hại SquirrelWaffle khai thác Cobalt Strike theo cách tương tự. Bằng cách cung cấp framework Cobalt Strike có chứa phần mềm độc hại sau khi lây nhiễm, SquirrelWaffle kết xuất các tác vụ exploit, chẳng hạn như truy cập từ xa liên tục vào các thiết bị bị xâm phạm.

5 mẹo để luôn được bảo vệ trước các cuộc tấn công từ phần mềm độc hại

Dưới đây là 5 mẹo sẽ giúp bạn luôn được bảo vệ trước SquirrelWaffle và các cuộc tấn công phần mềm độc hại tiềm ẩn khác:

1. Cẩn thận với các file đính kèm

Biện pháp phòng thủ số một chống lại bất kỳ loại phần mềm độc hại nào là thận trọng với việc mở các file đính kèm đáng ngờ.

Hầu hết các phần mềm độc hại được chuẩn bị kỹ lưỡng, chẳng hạn như các cuộc tấn công phishing, đều rất dễ đánh lừa nạn nhân và có thể cần rất nhiều kỹ thuật chuyên môn để xác định chúng. Một cuộc tấn công phishing đánh lừa mọi người mở một liên kết hoặc email có thể đến từ một nguồn hợp pháp. Sau khi được mở, liên kết có thể đưa nạn nhân đến một trang web giả mạo, nhắc họ nhập thông tin đăng nhập cá nhân hoặc đưa họ đến một trang web lây nhiễm phần mềm độc hại trực tiếp vào thiết bị của họ.

Vì vậy, hãy đề phòng khi mở file đính kèm và không nhấp vào chúng - trừ khi bạn hoàn toàn chắc chắn về nguồn gốc xuất xứ của chúng.

2. Cài đặt phần mềm diệt virus

Đầu tư vào phần mềm diệt virus mạnh mẽ và bảo mật điểm cuối là rất quan trọng trong việc giảm thiểu các cuộc tấn công do phần mềm độc hại gây ra. Một số giải pháp diệt virus nhất định có thể phát hiện phần mềm độc hại nguy hiểm và ngăn không cho tải xuống.

Những công cụ này cũng có thể cung cấp khả năng xem các thiết bị bị xâm nhập và thậm chí gửi thông báo cảnh báo khi người dùng tình cờ truy cập vào một trang web nguy hiểm. Hầu hết các phần mềm diệt virus ngày nay cũng cung cấp những bản cập nhật tự động để mang lại khả năng bảo vệ nâng cao chống lại các virus mới tạo.

3. Chú ý đến IoC

Đôi khi phần mềm diệt virus không được trang bị tính năng phát hiện phần mềm độc hại hoặc phần mềm độc hại có thể quá mới và khó phát hiện, như trường hợp của SquirrelWaffle.

Nếu bạn thấy mình ở trong tình huống này, thì tốt nhất hãy để ý đến Indicators of Compromise (IoC).

IoC là manh mối cho bạn biết rằng thiết bị của bạn đã bị nhiễm phần mềm độc hại. Ví dụ, bạn có thể nhận thấy hành vi bất thường chẳng hạn như sự khác biệt về địa lý trên thiết bị, sự gia tăng số lần đọc cơ sở dữ liệu hoặc tỷ lệ xác thực cao hơn trên mạng, v.v...

4. Cập nhật phần mềm thường xuyên

Các bản cập nhật phần mềm được phát hành để giải quyết mọi lo ngại về bảo mật, sửa lỗi phần mềm, xóa lỗ hổng bảo mật khỏi các hệ thống cũ và lỗi thời, cải thiện chức năng hoạt động của phần cứng và cung cấp hỗ trợ cho các model thiết bị mới hơn.

Vì vậy, ngoài việc cài đặt phần mềm diệt virus, bạn cũng nên cập nhật phần mềm thường xuyên. Điều này sẽ ngăn không cho tin tặc truy cập vào máy tính của bạn và lây nhiễm phần mềm độc hại vào hệ thống.

5. Thận trọng với các ứng dụng miễn phí và các nguồn không xác định

Luôn mua và tải xuống ứng dụng từ những nguồn đáng tin cậy vì nó làm giảm nguy cơ lây nhiễm phần mềm độc hại. Các thương hiệu có uy tín thực hiện nhiều biện pháp bổ sung để đảm bảo họ không phân phối các ứng dụng bị nhiễm phần mềm độc hại.

Ngoài ra, các phiên bản trả phí của ứng dụng thường an toàn hơn những phiên bản miễn phí.

Lưu ý: Xác nhận tính xác thực của nguồn bằng cách kiểm tra tên đầy đủ, danh sách các ứng dụng đã xuất bản và chi tiết liên hệ trong mô tả ứng dụng trong Google Play hoặc Apple App Store.