La campagne d'hameçonnage MirrorBlast cible les institutions financières

Des chercheurs en sécurité ont découvert une campagne de phishing en cours qui a été baptisée MirrorBlast. La campagne semble cibler les professionnels de la finance.

MirrorBlast a été repéré par une équipe de recherche d'ET Labs il y a plus d'un mois. La campagne utilise des liens malveillants à l'intérieur des e-mails de phishing qui dirigent la victime vers ce que les chercheurs appellent un fichier Excel "armé".

Les fichiers MS Office malveillants contiennent généralement des macros intégrées que les mauvais acteurs utilisent. Le cas avec MirrorBlast n'est pas différent. Alors que la plupart des suites anti-malware disposent d'une sorte de défense contre des menaces similaires, ce qui rend le fichier Excel utilisé par MirrorBlast particulièrement dangereux, c'est la nature des macros intégrées.

Les macros utilisées dans le fichier MirrorBlast sont décrites comme "extrêmement légères". Cela signifie qu'ils sont capables de tromper et de contourner de nombreux systèmes anti-malware.

Les chercheurs de Morphisec ont mis la main sur un échantillon du malware et l'ont séparé. La chaîne d'infection déclenchée par le fichier Excel rappelle les approches et les vecteurs d'attaque utilisés par un acteur de menace persistant avancé de langue russe nommé TA505, également appelé Graceful Spider.

Le lien contenu dans les e-mails de phishing conduit à de fausses copies malveillantes de pages qui imitent les répertoires OneDrive ou les pages SharePoint malveillantes. Au final, la victime atterrit toujours sur le fichier Excel militarisé.

Le leurre d'ingénierie sociale utilisé dans la campagne de phishing se concentre, de manière assez prévisible, sur Covid. Les faux messages sont conçus pour ressembler à des mémos d'entreprise sur les modalités de restructuration et les changements sur le lieu de travail liés à la situation de Covid.

Heureusement pour beaucoup, les macros malveillantes à l'intérieur du fichier ne peuvent s'exécuter que sur des installations 32 bits de MS Office, en raison de problèmes de compatibilité. La macro malveillante elle-même exécute du code JavaScript qui vérifie d'abord le bac à sable sur le système hôte, puis utilise l'exécutable Windows légitime msiexec.exe pour télécharger et exécuter un package d'installation.

TA505, l'entité soupçonnée d'être à l'origine de la campagne d'hameçonnage MirrorBlast, est décrite comme un acteur de menace à motivation financière qui change constamment de vecteurs d'attaque et d'approches pour garder une longueur d'avance sur les chercheurs.