MirrorBlast 网络钓鱼活动以金融机构为目标

安全研究人员发现了一个被称为 MirrorBlast的正在进行的网络钓鱼活动。该活动似乎针对从事金融工作的专业人士。

一个多月前，ET Labs 的一个研究团队发现了 MirrorBlast。该活动使用网络钓鱼电子邮件中的恶意链接，将受害者定向到研究人员称之为"武器化"的 Excel 文件。

恶意的 MS Office 文件通常包含不法分子使用的嵌入式宏。 MirrorBlast 的情况也不例外。虽然大多数反恶意软件套件对类似威胁都有某种防御能力，但使 MirrorBlast 使用的 Excel 文件特别危险的是嵌入式宏的性质。

MirrorBlast 文件中使用的宏被描述为"极其轻量级"。这意味着他们能够欺骗和规避许多反恶意软件系统。

Morphisec 的研究人员拿到了一个恶意软件样本并将其拆开。 Excel 文件触发的感染链让人联想到代号为TA505的俄语高级持续威胁参与者（也称为 Graceful Spider）使用的方法和攻击媒介。

网络钓鱼电子邮件中包含的链接会导致模仿 OneDrive 目录或恶意 SharePoint 页面的页面的恶意、伪造副本。最后，受害者总是登陆武器化的 Excel 文件。

网络钓鱼活动中使用的社会工程诱饵在某种程度上可以预见地集中在 Covid 上。这些虚假信息看起来像是公司备忘录，内容是关于重组安排和与 Covid 情况相关的工作场所变化。

幸运的是，由于兼容性问题，文件中的恶意宏只能在 32 位安装的 MS Office 上执行。恶意宏本身运行 JavaScript 代码，首先检查主机系统上的沙箱，然后使用合法的 Windows 可执行文件 msiexec.exe 下载并运行安装程序包。

TA505，被怀疑是网络钓鱼 MirrorBlast 活动背后的实体，被描述为一个出于经济动机的威胁参与者，它总是在改变攻击向量和方法以保持领先于研究人员。