Кампанията за фишинг на MirrorBlast е насочена към финансовите институции

Изследователите по сигурността разкриха текуща фишинг кампания , наречена MirrorBlast. Кампанията изглежда е насочена към професионалисти, работещи в областта на финансите.

MirrorBlast е забелязан от изследователски екип в ET Labs преди повече от месец. Кампанията използва злонамерени връзки в имейлите за фишинг, които насочват жертвата към това, което изследователите наричат „оръжеен" Excel файл.

Зловредните файлове на MS Office обикновено съдържат вградени макроси, които лошите актьори използват. Случаят с MirrorBlast не е по -различен. Докато повечето пакети за защита срещу злонамерен софтуер имат някакъв вид защита срещу подобни заплахи, това, което прави Excel файла, който MirrorBlast използва особено опасно, е естеството на вградените макроси.

Макросите, използвани във файла MirrorBlast, са описани като „изключително леки". Това означава, че те могат да заблудят и заобиколят много системи за защита от злонамерен софтуер.

Изследователи от Morphisec се докопаха до проба от зловредния софтуер и я разделиха. Веригата за заразяване, задействана от файла Excel, напомня за подходите и векторите за атака, използвани от руски език напреднал актьор с постоянна заплаха с кодово име TA505 , наричан още Graceful Spider.

Връзката, съдържаща се в имейлите за фишинг, води до злонамерени, фалшиви копия на страници, които имитират директории на OneDrive или злонамерени страници на SharePoint. В крайна сметка жертвата винаги попада върху оръжейния Excel файл.

Примамката за социално инженерство, използвана във фишинг кампанията, се фокусира донякъде предсказуемо върху Covid. Фалшивите съобщения са пригодени да приличат на служебни бележки за договорености за преструктуриране и промени на работното място, свързани със ситуацията с Covid.

За щастие за много злонамерените макроси във файла могат да се изпълняват само при 32-битови инсталации на MS Office поради проблеми със съвместимостта. Самият злонамерен макрос изпълнява JavaScript код, който първо проверява за пясъчно изтегляне в хост системата, след това използва легитимен изпълним за Windows msiexec.exe за изтегляне и стартиране на инсталационен пакет.

TA505, образуването, за което се подозира, че стои зад фишинг кампанията MirrorBlast, се описва като финансово мотивиран участник в заплахата, който винаги променя векторите на атаките и подходите, за да остане пред изследователите.