MirrorBlast-Phishing-Kampagne zielt auf Finanzinstitute ab

MirrorBlast-Phishing-Kampagne zielt auf Finanzinstitute ab

Sicherheitsforscher haben eine laufende Phishing-Kampagne aufgedeckt, die MirrorBlast genannt wird. Die Kampagne scheint sich an Fachleute im Finanzbereich zu richten.

MirrorBlast wurde vor mehr als einem Monat von einem Forschungsteam der ET Labs entdeckt. Die Kampagne verwendet bösartige Links in den Phishing-E-Mails, die das Opfer zu einer sogenannten "Waffen"-Excel-Datei leiten.

Schädliche MS Office-Dateien enthalten normalerweise eingebettete Makros, die von bösen Akteuren verwendet werden. Der Fall bei MirrorBlast ist nicht anders. Während die meisten Anti-Malware-Suiten eine Art Schutz gegen ähnliche Bedrohungen bieten, ist die von MirrorBlast verwendete Excel-Datei aufgrund der eingebetteten Makros besonders gefährlich.

Die in der MirrorBlast-Datei verwendeten Makros werden als "extrem leichtgewichtig" bezeichnet. Dies bedeutet, dass sie in der Lage sind, viele Anti-Malware-Systeme zu täuschen und zu umgehen.

Forscher von Morphisec haben eine Probe der Malware in die Hände bekommen und sie auseinander genommen. Die durch die Excel-Datei ausgelöste Infektionskette erinnert an die Ansätze und Angriffsvektoren eines russischsprachigen Advanced Persistent Threat Actors mit dem Codenamen TA505, auch Graceful Spider genannt.

Der in den Phishing-E-Mails enthaltene Link führt zu bösartigen, gefälschten Kopien von Seiten, die OneDrive-Verzeichnisse oder bösartige SharePoint-Seiten nachahmen. Am Ende landet das Opfer immer auf der waffenfähigen Excel-Datei.

Der Social-Engineering-Köder, der in der Phishing-Kampagne verwendet wurde, konzentriert sich etwas vorhersehbar auf Covid. Die gefälschten Nachrichten sind so zugeschnitten, dass sie wie Unternehmensnotizen über Umstrukturierungen und Veränderungen am Arbeitsplatz im Zusammenhang mit der Covid-Situation aussehen.

Zum Glück für viele können die bösartigen Makros in der Datei aufgrund von Kompatibilitätsproblemen nur bei 32-Bit-Installationen von MS Office ausgeführt werden. Das bösartige Makro selbst führt JavaScript-Code aus, der zuerst auf dem Hostsystem nach Sandboxing sucht und dann die legitime ausführbare Windows-Datei msiexec.exe verwendet, um ein Installationspaket herunterzuladen und auszuführen.

TA505, die verdächtige Entität, die hinter der Phishing-Kampagne MirrorBlast steckt, wird als finanziell motivierter Bedrohungsakteur beschrieben, der ständig Angriffsvektoren und -ansätze ändert, um den Forschern voraus zu sein.

Wird geladen...