Kampania phishingowa MirrorBlast skierowana do instytucji finansowych

Badacze bezpieczeństwa odkryli trwającą kampanię phishingową, która została nazwana MirrorBlast. Kampania wydaje się być skierowana do profesjonalistów pracujących w finansach.

MirrorBlast został zauważony przez zespół badawczy ET Labs ponad miesiąc temu. Kampania wykorzystuje szkodliwe odsyłacze w wiadomościach phishingowych, które kierują ofiarę do, jak to nazywają badacze, „uzbrojonego" pliku Excela.

Złośliwe pliki MS Office zwykle zawierają osadzone makra, których używają źli aktorzy. Nie inaczej jest w przypadku MirrorBlast. Podczas gdy większość programów anty-malware posiada pewien rodzaj ochrony przed podobnymi zagrożeniami, to, co sprawia, że plik Excela, którego używa MirrorBlast, jest szczególnie niebezpieczny, to natura wbudowanych makr.

Makra używane w pliku MirrorBlast są opisane jako „niezwykle lekkie". Oznacza to, że są w stanie oszukać i obejść wiele systemów antymalware.

Badacze z Morphisec dostali próbkę złośliwego oprogramowania i rozebrali go. Łańcuch infekcji wywoływany przez plik Excela przypomina podejścia i wektory ataków wykorzystywane przez rosyjskojęzycznego zaawansowanego, uporczywego gracza zajmującego się zagrożeniami o kryptonimie TA505, zwanego również Graceful Spider.

Łącze zawarte w wiadomościach phishingowych prowadzi do złośliwych, fałszywych kopii stron, które naśladują katalogi OneDrive lub złośliwe strony SharePoint. W końcu ofiara zawsze ląduje na uzbrojonym pliku Excela.

Pokusa socjotechniki użyta w kampanii phishingowej skupia się, co dość przewidywalne, na Covid. Fałszywe wiadomości są dostosowane tak, aby wyglądały jak notatki firmowe dotyczące ustaleń restrukturyzacyjnych i zmian w miejscu pracy związanych z sytuacją Covid.

Na szczęście dla wielu złośliwe makra w pliku mogą być uruchamiane tylko w 32-bitowych instalacjach MS Office ze względu na problemy ze zgodnością. Złośliwe makro samo w sobie uruchamia kod JavaScript, który najpierw sprawdza, czy w systemie hosta nie występuje piaskownica, a następnie wykorzystuje legalny plik wykonywalny Windows msiexec.exe do pobrania i uruchomienia pakietu instalacyjnego.

TA505, podmiot, który podejrzewa się, że stoi za kampanią phishingową MirrorBlast, jest opisywany jako finansowo motywowany podmiot zagrażający, który zawsze zmienia wektory ataków i podejścia, aby wyprzedzić naukowców.