Фишинговая кампания MirrorBlast нацелена на финансовые учреждения

Исследователи безопасности раскрыли продолжающуюся фишинговую кампанию , получившую название MirrorBlast. Кампания, похоже, нацелена на профессионалов, работающих в сфере финансов.

MirrorBlast был замечен исследовательской группой ET Labs более месяца назад. Кампания использует вредоносные ссылки внутри фишинговых писем, которые направляют жертву к тому, что исследователи называют «вооруженным» файлом Excel.

Вредоносные файлы MS Office обычно содержат встроенные макросы, которые используют злоумышленники. Случай с MirrorBlast ничем не отличается. Хотя большинство пакетов защиты от вредоносных программ имеют своего рода защиту от подобных угроз, то, что делает файл Excel, который использует MirrorBlast, особенно опасным, является природа встроенных макросов.

Макросы, используемые в файле MirrorBlast, описываются как «чрезвычайно легкие». Это означает, что они могут обмануть и обойти множество систем защиты от вредоносных программ.

Исследователи из Morphisec заполучили образец вредоносного ПО и разобрали его. Цепочка заражения, запускаемая файлом Excel, напоминает подходы и векторы атак, используемые русскоязычным продвинутым постоянным злоумышленником под кодовым названием TA505, также известным как Graceful Spider.

Ссылка, содержащаяся в фишинговых письмах, ведет на вредоносные поддельные копии страниц, имитирующих каталоги OneDrive или вредоносные страницы SharePoint. В конце концов, жертва всегда попадает в оружейный файл Excel.

Приманка социальной инженерии, используемая в фишинговой кампании, как и ожидалось, фокусируется на Covid. Фальшивые сообщения выглядят как служебные записки компании о реструктуризации и изменениях на рабочем месте, связанных с ситуацией с Covid.

К счастью для многих, вредоносные макросы внутри файла могут выполняться только при 32-разрядных установках MS Office из-за проблем с совместимостью. Сам вредоносный макрос запускает код JavaScript, который сначала проверяет наличие изолированной программной среды в хост-системе, а затем использует законный исполняемый файл Windows msiexec.exe для загрузки и запуска установочного пакета.

TA505, организация, которая предположительно стоит за фишинговой кампанией MirrorBlast, описывается как финансово мотивированный субъект угроз, который всегда меняет векторы атак и подходы, чтобы опережать исследователей.