MirrorBlast फ़िशिंग अभियान वित्तीय संस्थानों को लक्षित करता है

सुरक्षा शोधकर्ताओं ने एक चल रहे फ़िशिंग अभियान का खुलासा किया जिसे मिररब्लास्ट करार दिया गया है। ऐसा लगता है कि यह अभियान वित्त में काम करने वाले पेशेवरों को लक्षित कर रहा है।

मिररब्लास्ट को एक महीने पहले ईटी लैब्स की एक रिसर्च टीम ने देखा था। अभियान फ़िशिंग ईमेल के अंदर दुर्भावनापूर्ण लिंक का उपयोग करता है जो शिकार को निर्देशित करता है जिसे शोधकर्ता "हथियारयुक्त" एक्सेल फ़ाइल कहते हैं।

दुर्भावनापूर्ण MS Office फ़ाइलों में आमतौर पर एम्बेडेड मैक्रोज़ होते हैं जिनका उपयोग बुरे अभिनेता करते हैं। मिररब्लास्ट का मामला अलग नहीं है। जबकि अधिकांश एंटी-मैलवेयर सूट में समान खतरों के खिलाफ किसी प्रकार का बचाव होता है, जो एक्सेल फ़ाइल मिररब्लास्ट विशेष रूप से खतरनाक उपयोग करता है वह एम्बेडेड मैक्रोज़ की प्रकृति है।

मिररब्लास्ट फ़ाइल में उपयोग किए गए मैक्रोज़ को "बेहद हल्के" के रूप में वर्णित किया गया है। इसका मतलब है कि वे बहुत सारे एंटी-मैलवेयर सिस्टम को मूर्ख बनाने और उन्हें दरकिनार करने में सक्षम हैं।

मॉर्फिसेक के शोधकर्ताओं ने मैलवेयर के एक नमूने पर हाथ रखा और उसे अलग कर लिया। एक्सेल फ़ाइल द्वारा ट्रिगर की गई संक्रमण श्रृंखला एक रूसी भाषा के उन्नत लगातार खतरे वाले अभिनेता द्वारा उपयोग किए जाने वाले दृष्टिकोण और हमले के वैक्टर की याद दिलाती है, जिसका कोडनाम TA505 है, जिसे ग्रेसफुल स्पाइडर भी कहा जाता है।

फ़िशिंग ईमेल में निहित लिंक उन पृष्ठों की दुर्भावनापूर्ण, नकली प्रतियों की ओर ले जाता है जो OneDrive निर्देशिकाओं या दुर्भावनापूर्ण SharePoint पृष्ठों की नकल करते हैं। अंत में, पीड़ित हमेशा हथियारयुक्त एक्सेल फाइल पर उतरता है।

फ़िशिंग अभियान में इस्तेमाल किया जाने वाला सोशल इंजीनियरिंग लालच, कुछ हद तक अनुमानित रूप से, कोविद पर केंद्रित है। फर्जी संदेशों को कंपनी के मेमो की तरह दिखने के लिए तैयार किया गया है, जिसमें कोविद की स्थिति से संबंधित पुनर्गठन व्यवस्था और कार्यस्थल में बदलाव के बारे में बताया गया है।

कई लोगों के लिए सौभाग्य से, फ़ाइल के अंदर दुर्भावनापूर्ण मैक्रोज़ संगतता मुद्दों के कारण केवल MS Office के 32-बिट इंस्टाल पर ही निष्पादित हो सकते हैं। दुर्भावनापूर्ण मैक्रो स्वयं जावास्क्रिप्ट कोड चलाता है जो पहले होस्ट सिस्टम पर सैंडबॉक्सिंग की जांच करता है, फिर एक इंस्टॉलर पैकेज को डाउनलोड करने और चलाने के लिए वैध विंडोज निष्पादन योग्य msiexec.exe का उपयोग करता है।

TA505, जिस इकाई के फ़िशिंग मिररब्लास्ट अभियान के पीछे होने का संदेह है, उसे एक आर्थिक रूप से प्रेरित खतरा अभिनेता के रूप में वर्णित किया गया है जो हमेशा शोधकर्ताओं से आगे रहने के लिए हमले के वैक्टर और दृष्टिकोण को बदल रहा है।