Pesquisadores identificam nova campanha de phishing que usa arquivo de Excel para ataque

Pesquisadores de segurança cibernética descobriram, há cerca de um mês, uma nova campanha de phishing, apelidada de MirrorBlast. Com alvo em funcionários de serviços financeiros, o MirrorBlast é entregue através de um e-mail de phishing que contém links maliciosos que baixam um documento Excel como arma. Segundo novas descobertas, o malware é capaz de contornar os sistemas de detecção.

A campanha de phishing foi detectada pela empresa de segurança ET Labs, no início de setembro. Agora, a empresa de segurança Morphisec analisou o malware e observou que os arquivos maliciosos do Excel podem contornar os sistemas de detecção de malware porque contém macros incorporadas “extremamente leves”.

“MirrorBlast tem poucas detecções no VirusTotal devido à macro extremamente leve incorporada em seus arquivos do Excel, tornando-o particularmente perigoso para organizações que dependem de segurança baseada em detecção e sandboxing”, disse Arnold Osipov, pesquisador da Morphisec.

Embora as macros estejam desabilitadas no Excel por padrão, os invasores usam a engenharia social para enganar as vítimas em potencial para habilitá-las, diz a publicação do ZDNet.

“O código de macro pode ser executado apenas em uma versão de 32 bits do Office devido a razões de compatibilidade com objetos ActiveX (compatibilidade de controle ActiveX)”, escreveu o pesquisador. A própria macro executa um script JavaScript projetado para ignorar o sandboxing, verificando se o computador está sendo executado no modo de administrador. Em seguida, ele inicia o processo msiexec.exe, que baixa e instala um pacote MSI, explica o ZDNet.

Segundo os pesquisadores de segurança, a campanha tem uma semelhança com as táticas, técnicas e procedimentos comumente usados ​​pelo grupo de ameaça TA505, supostamente baseado na Rússia, ativo desde 2014. As semelhanças se estendem à cadeia de ataque, à funcionalidade GetandGo, à carga útil final e às semelhanças no padrão de nome de domínio, diz o pesquisador.

“O TA505 é mais conhecido por mudar frequentemente o malware que eles usam, bem como por impulsionar as tendências globais na distribuição de malware”, observa Osipov.

De acordo com Osipov, a cadeia de ataque acontece a partir do documento de anexo no e-mail, no entanto, ele muda para usar o URL feedproxy do Google com o SharePoint e o OneDrive lure, que se apresenta como uma solicitação de compartilhamento de arquivo, diz.

“Esses URLs levam a um SharePoint comprometido ou a um site OneDrive falso que os invasores usam para escapar da detecção, além de um requisito de entrada (SharePoint) que ajuda a escapar de sandboxes”.

Morphisec encontrou duas variantes do instalador MIS que usavam ferramentas de script legítimas chamadas KiXtart e REBOL.

O script KiXtart envia as informações da máquina da vítima ao servidor de comando e controle do invasor, como domínio, nome do computador, nome do usuário e lista de processos. Em seguida, destaca a publicação do ZDNet, ele responde com um número instruindo se deve prosseguir com a variante Rebol. De acordo com Morphisec, o script Rebol leva a uma ferramenta de acesso remoto chamada FlawedGrace, que já foi usada pelo grupo no passado.

“TA505 é um dos muitos grupos de ameaças com motivação financeira atualmente ativos no mercado. Eles também são um dos mais criativos, pois tendem a mudar constantemente os ataques que usam para atingir seus objetivos. Esta nova cadeia de ataque para MirrorBlast não é exceção para TA505 ou para outros grupos de ameaças inovadores”, concluem os pesquisadores.

Com informações do site ZDNet.