Nowy atak phishingowy z wykorzystaniem MS Excel

Nowa kampania phishingowa nakierowana jest na pracowników usług finansowych, wykorzystuje łącza, które pobierają tak zwany „uzbrojony” dokument Excela.

Kampania phishingowa, nazywa się MirrorBlast, została wykryta przez firmę ET Labs na początku września 2021. Natomiast Morphisec, przeanalizował to złośliwe oprogramowanie i zauważył, że ​​złośliwe pliki Excel mogą ominąć systemy wykrywania złośliwego oprogramowania, ponieważ zawierają „niezwykle lekkie” wbudowane makra, co czyni je „szczególnie niebezpiecznymi” dla organizacji, które polegają na bezpieczeństwie opartym na wykrywaniu i „piaskownicy”.

Makra, skrypty automatyzujące zadania, stały się popularnym narzędziem cyberataków. Chociaż makra są domyślnie wyłączone w programie Excel, osoby atakujące wykorzystują socjotechnikę, aby nakłonić potencjalne ofiary do włączenia makr.  Choć pozornie jest to podstawowa technika, makra były używane przez hakerów sponsorowanych przez państwo, ponieważ często działają. Firma Microsoft na początku tego roku rozszerzyła swój interfejs skanowania antymalware (AMSI) o oprogramowanie antywirusowe, aby zaradzić wzrostowi liczby złośliwego oprogramowania makr i nowemu trendowi ataków polegającemu na używaniu starszych makr Excel 4.0 XLM (zamiast makr VBA) w celu ominięcia systemów chroniących przed złośliwym oprogramowaniem.

Według Morphisec łańcuch ataków w MirrorBlast przypomina techniki stosowane przez ugruntowaną, motywowaną finansowo grupę cyberprzestępczą z siedzibą w Rosji, śledzoną przez badaczy jako TA505. Grupa ta działa od co najmniej 2014 roku i jest znana z szerokiej gamy narzędzi, z których korzysta.

„TA505 jest najbardziej znany z tego, że często zmienia złośliwe oprogramowanie, którego używa, a także napędza globalne trendy w dystrybucji złośliwego oprogramowania.

Podczas gdy atak MirrorBlast rozpoczyna się od dokumentu dołączonego do wiadomości e-mail, później wykorzystuje adres URL serwera proxy kanału Google z przynętą do SharePoint i OneDrive, która podszywa się pod żądanie udostępnienia plików. Kliknięcie adresu URL prowadzi do zhakowanej witryny SharePoint lub fałszywej witryny OneDrive. Obie wersje prowadzą do uzbrojonego dokumentu Excel.

Przykładowa wiadomość e-mail MirrorBlast pokazuje, że osoby atakujące wykorzystują temat informacji opublikowanych przez firmę o zmianach w ustaleniach roboczych związanych z COVID.

Morphisec zauważa, że ​​kod makra można wykonać tylko w 32-bitowej wersji pakietu Office ze względu na zgodność z obiektami ActiveX. Samo makro wykonuje skrypt JavaScript zaprojektowany w celu ominięcia „piaskownicy” poprzez sprawdzenie, czy komputer jest uruchomiony w trybie administratora. Następnie uruchamia proces msiexec.exe, który pobiera i instaluje pakiet MSI.

Morphisec znalazł dwa warianty instalatora MSI, które wykorzystywały legalne narzędzia skryptowe o nazwie KiXtart i REBOL.

Skrypt KiXtart wysyła informacje o komputerze ofiary do serwera dowodzenia i kontroli atakującego, takie jak domena, nazwa komputera, nazwa użytkownika i lista procesów. Następnie odpowiada numerem instruującym, czy kontynuować wariant Rebol.

Według Morphisec, skrypt Rebol prowadzi do narzędzia zdalnego dostępu o nazwie FlawedGrace, które było używane przez grupę w przeszłości .

„TA505 to jedna z wielu finansowo motywowanych grup zagrożeń, które są obecnie aktywne na rynku. Są również jedną z najbardziej kreatywnych, ponieważ mają tendencję do ciągłego zmieniania ataków, które wykorzystują, aby osiągnąć swoje cele” – zauważa Osipov.