Pesquisadores de segurança alertam sobre uma campanha furtiva de phishing que utiliza Excel, desenvolvida por um dos grupos de cibercriminosos mais criativos da internet
Uma nova campanha de phishing tem como alvo funcionários de serviços do setor financeiro. Sua arma principal é um conjunto de links para download do que pesquisadores chamam de “Excel armado”.
Apelidada de MirrorBlast, a campanha foi detectada por uma empresa de segurança no início de setembro deste ano. Outra empresa aproveitou as informações e analisou o malware e suas consequências, e observa que esses arquivos maliciosos do Excel podem contornar os sistemas de detecção de malware porque contêm macros extremamente leves incorporadas, tornando-o “particularmente perigoso” para organizações que dependem de segurança baseada em detecção e sandboxing – mecanismo de segurança utilizado para detectar e mitigar falhas de software.
Macros – que nada mais são do que scripts criados para automatizar tarefas – tornaram-se um recurso popular entre ciberataques recentes. Embora as macros estejam, por padrão, desabilitadas no Excel, invasores podem usar estratégias de engenharia social para enganar as vítimas em potencial e habilitá-las.
Ainda que, aparentemente, seja uma técnica básica, as macros têm sido muito usadas por hackers patrocinados pelo Estado porque, ao que tudo indica, costumam funcionar. No início de 2021, por exemplo, a Microsoft no início expandiu sua Antimalware Scan Interface (AMSI) para antivírus a fim de lidar com o aumento no número de incidentes de malware macro.
Além disso, é uma nova tendência dos invasores usar macros legados do Excel 4.0 XLM (em vez de macros VBA mais novas) para contornar os sistemas anti-malware.
A campanha e seus responsáveis
De acordo com a empresa que abalisou a campanha, a cadeia de ataque da MirrorBlast se assemelha às técnicas usadas por um grupo cibercriminoso bem estabelecido e financeiramente motivado, baseado na Rússia, que é rastreado pelos pesquisadores sob a nomenclatura TA505. O grupo está ativo desde pelo menos 2014 e é conhecido pela grande variedade de ferramentas que utiliza.
“O TA505 é mais conhecido por mudar frequentemente o malware utilizado pelo grupo, bem como por ser pioneiro nas tendências globais de distribuição de malware”, observa um pesquisador na análise divulgada uma postagem de blog.
Embora o ataque comece com um documento anexado a um e-mail, ele, eventualmente, evolui para usar uma URL feedproxy do Google com iscas do SharePoint e do OneDrive, se apresentando como uma solicitação de compartilhamento de arquivo. Ao clicar na URL, o usuário é direcionado a um site do SharePoint comprometido ou a um site falso do OneDrive. Ambas as versões levam ao documento de Excel infectado.
No e-mail que os pesquisadores analisam como exemplo, é evidente que os invasores estão explorando informações emitidas pelas empresas sobre mudanças nas dinâmicas de trabalho relacionadas ao COVID.
A análise observa que o código de macro pode ser executado apenas em uma versão de 32 bits do Office devido a razões de compatibilidade com objetos ActiveX. A própria macro executa um script JavaScript projetado para ignorar o sandboxing, verificando se o computador está sendo executado no modo de administrador. Em seguida, o malware inicia o processo msiexec.exe, que baixa e instala um pacote de instalação.
Foram encontradas duas variantes do instalador que usavam ferramentas de script legítimas chamadas KiXtart e REBOL.
O script KiXtart enviava as informações da máquina da vítima ao servidor de comando e controle do invasor, como domínio, nome do computador, nome do usuário e lista de processos. Em seguida, o servidor respondia com um número instruindo se deveria-se prosseguir com a variante Rebol.
De acordo com a análise, o script Rebol leva a uma ferramenta de acesso remoto chamada FlawedGrace, que já foi usada pelo grupo em ataques anteriores.
“O TA505 é um dos muitos grupos de ameaças com motivações financeiras ativos atualmente no mercado. Eles também são um dos mais criativos, pois têm a tendência de mudar constantemente os ataques que utilizam para atingir seus objetivos”, finaliza o relatório.
Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!