A Campanha de Phishing MirrorBlast Tem como Alvo Instituições fFnanceiras

Os pesquisadores de segurança descobriram uma campanha de phishing em andamento que foi apelidada de MirrorBlast. A campanha parece ter como alvo profissionais que trabalham com finanças.

O MirrorBlast foi localizado por uma equipe de pesquisa no ET Labs há mais de um mês. A campanha usa links maliciosos dentro dos e-mails de phishing que direcionam a vítima para o que os pesquisadores chamam de arquivo Excel "armado".

Os arquivos maliciosos do MS Office geralmente contêm macros incorporadas que os malfeitores usam. O caso com o MirrorBlast não é diferente. Embora a maioria dos anti-malware tenha algum tipo de defesa contra ameaças semelhantes, o que torna o arquivo do Excel usado pelo MirrorBlast particularmente perigoso é a natureza dos macros incorporados.

Os macros usados no arquivo MirrorBlast são descritas como "extremamente leves". Isso significa que eles são capazes de enganar e contornar muitos sistemas anti-malware.

Os pesquisadores do Morphisec puseram as mãos em uma amostra do malware e o separaram. A cadeia de infecção desencadeada pelo arquivo Excel é uma reminiscência das abordagens e vetores de ataque usados por um ator de ameaças persistentes avançado do idioma russo, codinome TA505, também conhecido como Graceful Spider.

O link contido nos e-mails de phishing leva a cópias falsas e mal-intencionadas de páginas que imitam os diretórios do OneDrive ou páginas mal-intencionadas do SharePoint. No final, a vítima sempre vai parar no arquivo Excel armado.

A isca de engenharia social usada na campanha de phishing se concentra, de forma um tanto previsível, no Covid. As mensagens falsas são adaptadas para se parecerem com memorandos da empresa sobre acordos de reestruturação e mudanças no local de trabalho relacionadas à situação do Covid.

Felizmente para muitos, as macros maliciosas dentro do arquivo só podem ser executadas em instalações de 32 bits do MS Office, devido a problemas de compatibilidade. A própria macro maliciosa executa o código JavaScript que primeiro verifica a existência de sandbox no sistema host e, em seguida, usa o executável msiexec.exe legítimo do Windows para baixar e executar um pacote de instalação.

O TA505, a entidade suspeita de estar por trás da campanha de phishing MirrorBlast, é descrita como um autor de ameaças com motivação financeira que está sempre mudando os vetores de ataque e as abordagens para ficar à frente dos pesquisadores.