MirrorBlast Phishing-campagne richt zich op financiële instellingen

Beveiligingsonderzoekers ontdekten een lopende phishing-campagne die MirrorBlast werd genoemd. De campagne lijkt zich te richten op professionals die in de financiële wereld werken.

MirrorBlast werd meer dan een maand geleden opgemerkt door een onderzoeksteam van ET Labs. De campagne maakt gebruik van kwaadaardige links in de phishing-e-mails die het slachtoffer doorverwijzen naar wat onderzoekers een "bewapend" Excel-bestand noemen.

Schadelijke MS Office-bestanden bevatten meestal ingesloten macro's die kwaadwillenden gebruiken. Het geval met MirrorBlast is niet anders. Hoewel de meeste anti-malware-suites een soort van verdediging hebben tegen soortgelijke bedreigingen, is wat het Excel-bestand dat MirrorBlast gebruikt bijzonder gevaarlijk maakt door de aard van de ingesloten macro's.

De macro's die in het MirrorBlast-bestand worden gebruikt, worden beschreven als "extreem lichtgewicht". Dit betekent dat ze veel anti-malwaresystemen voor de gek kunnen houden en omzeilen.

Onderzoekers van Morphisec hebben een voorbeeld van de malware in handen gekregen en hebben het uit elkaar gehaald. De infectieketen die door het Excel-bestand wordt geactiveerd, doet denken aan de benaderingen en aanvalsvectoren die worden gebruikt door een Russischtalige geavanceerde aanhoudende dreigingsactor met de codenaam TA505, ook wel Graceful Spider genoemd.

De link in de phishing-e-mails leidt naar kwaadaardige, valse kopieën van pagina's die OneDrive-mappen of kwaadaardige SharePoint-pagina's nabootsen. Uiteindelijk komt het slachtoffer altijd op het bewapende Excel-bestand terecht.

Het social engineering-lokmiddel dat in de phishing-campagne wordt gebruikt, richt zich, enigszins voorspelbaar, op Covid. De nepberichten zijn op maat gemaakt om eruit te zien als bedrijfsmemo's over herstructureringsregelingen en veranderingen op de werkplek in verband met de Covid-situatie.

Gelukkig voor velen kunnen de kwaadaardige macro's in het bestand vanwege compatibiliteitsproblemen alleen worden uitgevoerd op 32-bits installaties van MS Office. De kwaadaardige macro voert zelf JavaScript-code uit die eerst controleert op sandboxing op het hostsysteem en vervolgens het legitieme Windows-uitvoerbare msiexec.exe gebruikt om een installatiepakket te downloaden en uit te voeren.

TA505, de entiteit die vermoedelijk achter de phishing MirrorBlast-campagne zit, wordt beschreven als een financieel gemotiveerde dreigingsactor die altijd aanvalsvectoren en benaderingen verschuift om onderzoekers voor te blijven.