MirrorBlast Phishing -kampagne målretter finansinstitutioner

Sikkerhedsforskere afslørede en igangværende phishing -kampagne, der er blevet kaldt MirrorBlast. Kampagnen ser ud til at være rettet mod fagfolk, der arbejder inden for finansiering.

MirrorBlast blev opdaget af et forskerhold på ET Labs for mere end en måned siden. Kampagnen bruger ondsindede links inde i phishing -e -mails, der leder offeret til, hvad forskere kalder en "våbenbaseret" Excel -fil.

Ondsindede MS Office -filer indeholder normalt indlejrede makroer, som dårlige aktører bruger. Sagen med MirrorBlast er ikke anderledes. Mens de fleste anti-malware-suiter har en slags forsvar mod lignende trusler, er det, der gør Excel-filen, MirrorBlast bruger særligt farlig, karakteren af de integrerede makroer.

Makroerne, der bruges i MirrorBlast -filen, beskrives som "ekstremt lette". Det betyder, at de er i stand til at narre og omgå mange anti-malware-systemer.

Forskere fra Morphisec fik fat i en prøve af malware og plukkede den fra hinanden. Infektionskæden, der udløses af Excel-filen, minder om tilgange og angrebsvektorer, der bruges af en russisk-sproget avanceret vedvarende trusselsaktør med kodenavnet TA505, også omtalt som Graceful Spider.

Linket i phishing -e -mails fører til ondsindede, falske kopier af sider, der efterligner OneDrive -biblioteker eller ondsindede SharePoint -sider. I sidste ende lander offeret altid på den våbnede Excel -fil.

Den social engineering lokning, der blev brugt i phishing -kampagnen, fokuserer, noget forudsigeligt, på Covid. De falske beskeder er skræddersyet til at ligne virksomhedsnotater om omstruktureringsordninger og ændringer på arbejdspladsen i forbindelse med Covid -situationen.

Heldigvis for mange kan de ondsindede makroer i filen kun udføres på 32-bit installationer af MS Office på grund af kompatibilitetsproblemer. Den ondsindede makro kører selv JavaScript -kode, der først kontrollerer sandboxing på værtsystemet og derefter bruger legitim Windows -eksekverbar msiexec.exe til at downloade og køre en installationspakke.

TA505, den enhed, der mistænkes for at stå bag phishing -MirrorBlast -kampagnen, beskrives som en økonomisk motiveret trusselsaktør, der altid skifter angrebsvektorer og tilgange til at være foran forskerne.