MirrorBlast Phishing -kampanj riktar in sig på finansinstitut

Säkerhetsforskare avslöjade en pågående nätfiske -kampanj som har kallats MirrorBlast. Kampanjen verkar rikta in sig på proffs som arbetar med finans.

MirrorBlast upptäcktes av ett forskargrupp på ET Labs för mer än en månad sedan. Kampanjen använder skadliga länkar i phishing -e -postmeddelanden som leder offret till vad forskare kallar en "vapen" Excel -fil.

Skadliga MS Office -filer innehåller vanligtvis inbäddade makron som dåliga aktörer använder. Fallet med MirrorBlast är inte annorlunda. Medan de flesta sviter mot skadlig kod har ett slags försvar mot liknande hot, är det som gör Excel-filen MirrorBlast använder särskilt farligt karaktären av de inbäddade makron.

Makron som används i MirrorBlast -filen beskrivs som "extremt lätta". Det betyder att de kan lura och kringgå många antimalware-system.

Forskare från Morphisec fick tag på ett prov av skadlig programvara och plockade isär det. Infektionskedjan som utlöses av Excel-filen påminner om tillvägagångssätten och attackvektorerna som används av en ryskspråkig avancerad ihållande hotaktör med kodnamnet TA505, även kallad Graceful Spider.

Länken i phishing -e -postmeddelanden leder till skadliga, falska kopior av sidor som efterliknar OneDrive -kataloger eller skadliga SharePoint -sidor. I slutändan landar offret alltid på den vapenförsedda Excel -filen.

Socialtekniken som används i nätfiskekampanjen fokuserar, något förutsägbart, på Covid. De falska meddelandena är skräddarsydda för att se ut som företagsanteckningar om omstruktureringsarrangemang och förändringar på arbetsplatsen relaterade till Covid -situationen.

Lyckligtvis för många kan de skadliga makron i filen bara köras på 32-bitars installationer av MS Office på grund av kompatibilitetsproblem. Det skadliga makrot i sig kör JavaScript -kod som först söker efter sandlåda på värdsystemet och sedan använder legitim Windows -körbar msiexec.exe för att ladda ner och köra ett installationspaket.

TA505, enheten som misstänks stå bakom kampanjen för nätfiske MirrorBlast, beskrivs som en ekonomiskt motiverad hotaktör som alltid flyttar attackvektorer och tillvägagångssätt för att ligga före forskare.