Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Squirrelwaffle arrive en France

septembre 2021 par HarfangLab

Squirrelwaffle est une menace de logiciel malveillant émergente, initialement signalée par plusieurs chercheurs en sécurité aux alentours du 13 septembre.

La méthode de propagation actuelle est un lien, envoyé par courriel, pointant sur une archive au format ZIP. Cette archive contient un document Office qui, via l’activation des macros, entraine l’exécution d’un script VBS dont l’objectif est le téléchargement puis l’exécution d’une bibliothèque dynamique (DLL).

Par la suite, il est probable que d’autres charges soient descendues sur le poste, mais ce code malveillant étant très récent il est encore difficile d’avoir du recul même si en source ouverte certaines personnes évoquent des charges basées sur du Cobalt Strike.

Jeudi dernier, HarfangLab EDR a détecté ce malware chez un de ses clients.

L’attaque potentielle a vite été écartée pour notre équipe CTI avec les actions suivantes :
- Isolement des deux postes touchés ;
- Blocage des adresses IP liées au serveur ‘command & control’ via l’édition de règles de Threat Intel ;
- Mise en blocage de certaines règles de détection.

Sans pour autant présumer de sa propagation, il est clair que cette nouvelle menace est très dangereuse, car elle appartient à la catégorie des chevaux de Troie.




Voir les articles précédents

    

Voir les articles suivants