Pesquisadores de segurança cibernética descobriram, há cerca de um mês, uma nova campanha de phishing, apelidada de MirrorBlast. Com alvo em funcionários de serviços financeiros, o MirrorBlast é entregue através de um e-mail de phishing que contém links maliciosos que baixam um documento Excel como arma. Segundo novas descobertas, o malware é capaz de contornar os sistemas de detecção.
A campanha de phishing foi detectada pela empresa de segurança ET Labs, no início de setembro. Agora, a empresa de segurança Morphisec analisou o malware e observou que os arquivos maliciosos do Excel podem contornar os sistemas de detecção de malware porque contém macros incorporadas “extremamente leves”.
“MirrorBlast tem poucas detecções no VirusTotal devido à macro extremamente leve incorporada em seus arquivos do Excel, tornando-o particularmente perigoso para organizações que dependem de segurança baseada em detecção e sandboxing”, disse Arnold Osipov, pesquisador da Morphisec.
Embora as macros estejam desabilitadas no Excel por padrão, os invasores usam a engenharia social para enganar as vítimas em potencial para habilitá-las, diz a publicação do ZDNet.
“O código de macro pode ser executado apenas em uma versão de 32 bits do Office devido a razões de compatibilidade com objetos ActiveX (compatibilidade de controle ActiveX)”, escreveu o pesquisador. A própria macro executa um script JavaScript projetado para ignorar o sandboxing, verificando se o computador está sendo executado no modo de administrador. Em seguida, ele inicia o processo msiexec.exe, que baixa e instala um pacote MSI, explica o ZDNet.
Segundo os pesquisadores de segurança, a campanha tem uma semelhança com as táticas, técnicas e procedimentos comumente usados pelo grupo de ameaça TA505, supostamente baseado na Rússia, ativo desde 2014. As semelhanças se estendem à cadeia de ataque, à funcionalidade GetandGo, à carga útil final e às semelhanças no padrão de nome de domínio, diz o pesquisador.
“O TA505 é mais conhecido por mudar frequentemente o malware que eles usam, bem como por impulsionar as tendências globais na distribuição de malware”, observa Osipov.
De acordo com Osipov, a cadeia de ataque acontece a partir do documento de anexo no e-mail, no entanto, ele muda para usar o URL feedproxy do Google com o SharePoint e o OneDrive lure, que se apresenta como uma solicitação de compartilhamento de arquivo, diz.
“Esses URLs levam a um SharePoint comprometido ou a um site OneDrive falso que os invasores usam para escapar da detecção, além de um requisito de entrada (SharePoint) que ajuda a escapar de sandboxes”.
Morphisec encontrou duas variantes do instalador MIS que usavam ferramentas de script legítimas chamadas KiXtart e REBOL.
O script KiXtart envia as informações da máquina da vítima ao servidor de comando e controle do invasor, como domínio, nome do computador, nome do usuário e lista de processos. Em seguida, destaca a publicação do ZDNet, ele responde com um número instruindo se deve prosseguir com a variante Rebol. De acordo com Morphisec, o script Rebol leva a uma ferramenta de acesso remoto chamada FlawedGrace, que já foi usada pelo grupo no passado.
“TA505 é um dos muitos grupos de ameaças com motivação financeira atualmente ativos no mercado. Eles também são um dos mais criativos, pois tendem a mudar constantemente os ataques que usam para atingir seus objetivos. Esta nova cadeia de ataque para MirrorBlast não é exceção para TA505 ou para outros grupos de ameaças inovadores”, concluem os pesquisadores.
Com informações do site ZDNet.
A Nutrien Soluções Agrícolas, multinacional canadense de varejo agrícola, anunciou a nomeação de Lucila Orsini…
As vendas de smartphones da Huawei estão em ascensão na China, registrando um crescimento de…
Uma pesquisa conduzida pela Lenovo Group revelou que, embora a Inteligência Artificial (IA) seja considerada…
Semanalmente, o IT Forum seleciona as principais oportunidades para aqueles que buscam aprofundar seus conhecimentos…
A IBM anunciou a aquisição da HashiCorp por US$ 6,4 bilhões como parte de sua…
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…