據bleeping computer消息，此前一度登上世界前十的銀行木馬QBot正卷土重來，多家安全研究公司的分析師將此歸因于 Squirrelwaffle 的興起。

資料顯示，Qbot木馬是一種Windows銀行木馬，具有蠕蟲功能，至少從2009年開始活躍，用于竊取銀行憑證，個人信息和財務數據。因此，Qbot木馬常被用于竊取銀行證書和金融數據，以及記錄用戶的鍵盤、部署后門，并在受到攻擊的設備上投放額外的惡意軟件。

[[435251]]

自2009年開始活躍以來，Qbot木馬一直在不斷更新，給多家銀行造成嚴重經濟損失。例如在2002年6月，攻擊者就曾利用Qbot木馬有效載荷對美國多家銀行發起持續攻擊，共竊取了數十家美國金融機構客戶的憑證。其中包括摩根大通、花旗銀行、美國銀行、富國銀行等全球知名銀行。

Qbot 還有一個危險的新特性：專用電子郵件收集器模塊。該模塊可從受害者的 Outlook 客戶端提取電子郵件線程，并將其上傳到外部遠程服務器。借此，Qbot 能夠劫持受感染用戶的合法電子郵件對話，然后利用這些被劫持的電子郵件發送垃圾信息，從而提高誘騙其他用戶感染的幾率。

Qbot 還支持其控制器連接到受害者的電腦，以實施未經授權的銀行交易。Qbot木馬因此兇名在外，2020年8月，全球知名網絡安全公司Check Point®發布了《全球威脅指數》，首次將新型Qbot 變種木馬排在十大惡意軟件指數排行榜榜首。

2021年，隨著越來越多的企業注意到Qbot木馬，其活躍度逐漸降低。但是，安全研究人員近段時間又發現，因為一種名為Squirrelwaffle 惡意軟件的興起，Qbot木馬活躍度再次上升。

借著SquirrelWaffle再次興起

Squirrelwaffle是一種新型惡意軟件，它為攻擊者提供了一個進攻的橋頭堡，以及投放惡意軟件感染互聯網和設備的方法。

2021年10月，有安全專家預測，Squirrelwaffle惡意軟件是最有可能填補Emotet留下的空白市場，如今這一預言已經變成了現實，不僅如此還讓Qbot木馬重出江湖。

據悉，Squirrelwaffle出現于2021年9月，主要是通過垃圾郵件活動進行傳播，主要的語言是英語，但也會使用法語、德語、荷蘭語、波蘭語等發送電子郵件。自出道后，該勒索軟件表現出極強的感染性，其分發量也在9月底達到了峰值。

日前，Sentinel Labs發布了一份關于SquirrelWaffle加載器崛起的報告，當它進攻的橋頭堡建立之后，隨即開始傳播Qakbot木馬。

Minerva Labs的安全研究人員也發現了類似的問題，他們給出了整個過程，如下圖所示：

安全研究人員表示，SquirrelWaffle還會使用VBA宏執行PowerShell命令，檢索其有效負載并啟動它。

松鼠狼還使用VBA宏執行PowerShell命令，檢索其有效負載并啟動它。和它前輩Emotet廣撒網釣魚不同的是，SquirrelWaffle在制作釣魚郵件上顯的更加上心，常根據受害者的情況發起針對性攻擊，因此中招的概率相對更高。

此外，SquirrelWaffle團伙還非常舍得下本錢，他們常把郵件偽裝的工作外包給這方面的“專家”，這部分人更加擅長社會工程學，因此釣魚郵件看起來十分真實，這也是SquirrelWaffle 惡意軟件能夠肆虐全球的核心原因之一。

參考來源：

https://www.bleepingcomputer.com/news/security/qbot-returns-for-a-new-wave-of-infections-using-squirrelwaffle/