La campagna di phishing MirrorBlast prende di mira le istituzioni finanziarie

I ricercatori della sicurezza hanno scoperto una campagna di phishing in corso che è stata soprannominata MirrorBlast. La campagna sembra essere rivolta a professionisti che lavorano nella finanza.

MirrorBlast è stato individuato da un team di ricerca di ET Labs più di un mese fa. La campagna utilizza collegamenti dannosi all'interno delle e-mail di phishing che indirizzano la vittima a quello che i ricercatori chiamano un file Excel "armato".

I file dannosi di MS Office di solito contengono macro incorporate utilizzate dai malintenzionati. Il caso di MirrorBlast non è diverso. Sebbene la maggior parte delle suite anti-malware disponga di una sorta di difesa contro minacce simili, ciò che rende il file Excel utilizzato da MirrorBlast particolarmente pericoloso è la natura delle macro incorporate.

Le macro utilizzate nel file MirrorBlast sono descritte come "estremamente leggere". Ciò significa che sono in grado di ingannare ed eludere molti sistemi anti-malware.

I ricercatori di Morphisec hanno messo le mani su un campione del malware e lo hanno separato. La catena di infezione innescata dal file Excel ricorda gli approcci e i vettori di attacco utilizzati da un attore di minacce persistenti avanzate di lingua russa nome in codice TA505, noto anche come Graceful Spider.

Il collegamento contenuto nelle e-mail di phishing porta a copie dannose e false di pagine che imitano le directory di OneDrive o le pagine di SharePoint dannose. Alla fine, la vittima finisce sempre sul file Excel armato.

L'esca di ingegneria sociale utilizzata nella campagna di phishing si concentra, in modo alquanto prevedibile, sul Covid. I falsi messaggi sono personalizzati per assomigliare a promemoria aziendali su accordi di ristrutturazione e cambiamenti sul posto di lavoro legati alla situazione Covid.

Fortunatamente per molti, le macro dannose all'interno del file possono essere eseguite solo su installazioni a 32 bit di MS Office, a causa di problemi di compatibilità. La stessa macro dannosa esegue il codice JavaScript che prima verifica la presenza di sandbox sul sistema host, quindi utilizza l'eseguibile legittimo di Windows msiexec.exe per scaricare ed eseguire un pacchetto di installazione.

TA505, l'entità sospettata di essere dietro la campagna di phishing MirrorBlast, è descritta come un attore di minacce finanziariamente motivato che cambia sempre i vettori di attacco e gli approcci per stare al passo con i ricercatori.