Licencje na wiele urządzeń (rabaty zbiorcze)

Zmieniać region

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe български език Русский हिन्दी 日本語 汉语 漢語 한국어
Computer Security Kampania phishingowa MirrorBlast skierowana do instytucji...

Kampania phishingowa MirrorBlast skierowana do instytucji finansowych

Do Mura w Computer Security
Przetłumacz na:
Polski

Badacze bezpieczeństwa odkryli trwającą kampanię phishingową, która została nazwana MirrorBlast. Kampania wydaje się być skierowana do profesjonalistów pracujących w finansach.

MirrorBlast został zauważony przez zespół badawczy ET Labs ponad miesiąc temu. Kampania wykorzystuje szkodliwe odsyłacze w wiadomościach phishingowych, które kierują ofiarę do, jak to nazywają badacze, „uzbrojonego" pliku Excela.

Złośliwe pliki MS Office zwykle zawierają osadzone makra, których używają źli aktorzy. Nie inaczej jest w przypadku MirrorBlast. Podczas gdy większość programów anty-malware posiada pewien rodzaj ochrony przed podobnymi zagrożeniami, to, co sprawia, że plik Excela, którego używa MirrorBlast, jest szczególnie niebezpieczny, to natura wbudowanych makr.

Makra używane w pliku MirrorBlast są opisane jako „niezwykle lekkie". Oznacza to, że są w stanie oszukać i obejść wiele systemów antymalware.

Badacze z Morphisec dostali próbkę złośliwego oprogramowania i rozebrali go. Łańcuch infekcji wywoływany przez plik Excela przypomina podejścia i wektory ataków wykorzystywane przez rosyjskojęzycznego zaawansowanego, uporczywego gracza zajmującego się zagrożeniami o kryptonimie TA505, zwanego również Graceful Spider.

Łącze zawarte w wiadomościach phishingowych prowadzi do złośliwych, fałszywych kopii stron, które naśladują katalogi OneDrive lub złośliwe strony SharePoint. W końcu ofiara zawsze ląduje na uzbrojonym pliku Excela.

Pokusa socjotechniki użyta w kampanii phishingowej skupia się, co dość przewidywalne, na Covid. Fałszywe wiadomości są dostosowane tak, aby wyglądały jak notatki firmowe dotyczące ustaleń restrukturyzacyjnych i zmian w miejscu pracy związanych z sytuacją Covid.

Na szczęście dla wielu złośliwe makra w pliku mogą być uruchamiane tylko w 32-bitowych instalacjach MS Office ze względu na problemy ze zgodnością. Złośliwe makro samo w sobie uruchamia kod JavaScript, który najpierw sprawdza, czy w systemie hosta nie występuje piaskownica, a następnie wykorzystuje legalny plik wykonywalny Windows msiexec.exe do pobrania i uruchomienia pakietu instalacyjnego.

TA505, podmiot, który podejrzewa się, że stoi za kampanią phishingową MirrorBlast, jest opisywany jako finansowo motywowany podmiot zagrażający, który zawsze zmienia wektory ataków i podejścia, aby wyprzedzić naukowców.

Ładowanie...