گروه فیشینگ جدیدی به نام MirrorBlast از سند اکسل آلودهای استفاده میکنند که به سختی میتوان تفاوت آن را با اسناد اصلی سازمانهای خدمات مالی تشخیص داد. بارزترین خصوصیت این گروه نرخ شناسایی پایین این اسناد اکسلی توسط نرمافزارهای امنیتی است که موجب میشود سازمانهایی که صرفاً به ابزارهای شناسایی متکی هستند، در معرض خطر بالایی قرار گیرند.
ماکرویی بسیار سبک با درصد شناسایی صفر
توسعه دهندگان این اسناد، تلاش زیادی برای مخفی کردن کدهای مخرب انجام دادهاند که در نتیجه این تلاش، به شناسایی صفر در VirusTotal دست یافتهاند. البته، این اسناد بهینهسازی شده دارای ضعفی نیز هستند که عاملان اهمیتی به آن نمیدهند؛ این اسناد تنها در نسخه ۳۲ بیتی نرمافزار آفیس قابل اجرا هستند.
در صورتی که قربانی فریب بخورد تا سند مخرب را باز و محتوا را در مایکروسافت آفیس فعال کند، ماکروی آلوده یک اسکریپت JScript را اجرا میکند که منجر به دانلود و نصب یک بسته MSI میشود. البته قبل از آن، ماکرو یک بررسی اولیه ضد sandboxing را انجام میدهد که آیا نام سیستم با دامنه کاربر برابر است یا خیر و آیا نام کاربری برابر با «admin» یا «administrator» است. به گفته محققان Morphisec که چندین نمونه از بسته MSI دراپ شده را تجزیه و تحلیل کردند، این بسته در دو نوع ارائه میشود که یکی در REBOL و دیگری در KiXtart نوشته شده است.
به نظر میرسد که عاملان پشت پرده این حملات، گروه روسی TA505 باشند که قدمت بالایی در ایجاد اسناد اکسلی آلوده و نفوذ به سیستمها دارند. محققان توانستهاند آنها را به کمپین بدافزاری MirrorBlast اتصال دهند چرا که دارای زنجیره حملات مشابهی میباشند و ظاهرا از روشهای یکسانی نیز برای به سرقت بردن اطلاعات استفاده میکنند.
تجزیه و تحلیل NCCGroup بر روی این گروه بدافزاری نشان دهنده یک گروه سازمان یافته است که از آسیب پذیریهای روز صفر و انواع گونههای بدافزاری در حملات خود استفاده میکند که شامل استقرار باج افزار Clop در حملات باج خواهی مضاعف است. به این ترتیب، تیمهای فناوری اطلاعات در سازمانهای مالی هدف کمپین MirrorBlast نمیتوانند حتی برای یک لحظه از خطر آسیب این گروه بدافزاری خطرناک غافل باشند.
