La Campaña de Phishing MirrorBlast se Dirige a Instituciones Financieras

Los investigadores de seguridad descubrieron una campaña de phishing en curso que se ha denominado MirrorBlast. La campaña parece estar dirigida a profesionales que trabajan en finanzas.

MirrorBlast fue descubierto por un equipo de investigación de ET Labs hace más de un mes. La campaña utiliza enlaces maliciosos dentro de los correos electrónicos de phishing que dirigen a la víctima a lo que los investigadores llaman un archivo de Excel "armado".

Los archivos maliciosos de MS Office suelen contener macros incrustadas que utilizan los delincuentes. El caso de MirrorBlast no es diferente. Si bien la mayoría de las suites anti-malware tienen algún tipo de defensa contra amenazas similares, lo que hace que el archivo de Excel que MirrorBlast usa sea particularmente peligroso es la naturaleza de las macros integradas.

Las macros utilizadas en el archivo MirrorBlast se describen como "extremadamente ligeras". Esto significa que pueden engañar y eludir muchos sistemas anti-malware.

Los investigadores de Morphisec consiguieron una muestra del malware y la desmenuzaron. La cadena de infección desencadenada por el archivo de Excel recuerda los enfoques y los vectores de ataque utilizados por un actor de amenazas persistentes avanzadas en idioma ruso con nombre en código TA505, también conocido como Graceful Spider.

El enlace contenido en los correos electrónicos de phishing conduce a copias falsas y maliciosas de páginas que imitan directorios de OneDrive o páginas de SharePoint maliciosas. Al final, la víctima siempre aterriza en el archivo Excel armado.

El señuelo de la ingeniería social utilizado en la campaña de phishing se centra, de forma algo predecible, en Covid. Los mensajes falsos están diseñados para parecerse a los memorandos de la empresa sobre arreglos de reestructuración y cambios en el lugar de trabajo relacionados con la situación de Covid.

Afortunadamente para muchos, las macros maliciosas dentro del archivo solo se pueden ejecutar en instalaciones de 32 bits de MS Office, debido a problemas de compatibilidad. La macro maliciosa en sí ejecuta código JavaScript que primero verifica el sandboxing en el sistema host, luego usa el ejecutable legítimo de Windows msiexec.exe para descargar y ejecutar un paquete de instalación.

TA505, la entidad que se sospecha está detrás de la campaña de phishing MirrorBlast, se describe como un actor de amenazas con motivación financiera que siempre está cambiando los vectores y enfoques de ataque para mantenerse por delante de los investigadores.