Morphisec Labs виявила нову кампанію MirrorBlast, яка атакує фінансові організації через фішингові листи. Ця загроза, пов’язана з групою TA505, використовує легковажні макроси в Excel-документах, що ускладнює виявлення антивірусами.

Як це працює? Атака починається з фішингового листа з посиланням на SharePoint або фальшивий OneDrive, що веде до завантаження шкідливого Excel-файлу. Легкий макрос у файлі запускає JScript через msiexec.exe, який завантажує MSI-пакет (KiXtart або REBOL). Цей пакет встановлює шкідливий скрипт, що зв’язується з C2-сервером і доставляє фінальний payload, наприклад FlawedGrace RAT. Антисендбокс-заходи та приховування через explorer.exe допомагають уникнути EDR-систем.

Що загрожує? Викрадення даних, шифрування файлів та фінансовий шантаж, характерний для TA505.

Як захиститися?

-Не відкривайте посилання з підозрілих листів.
-Перевірте систему за хешами (наприклад, 55a06694bb96ecc422a7a6c731053b1ef5a35b5f5bac78752ca60b729cf7441f).
-Використовуйте захист від безфайлових атак, як-от Morphisec Moving Target Defense.
-Оновлюйте Office та антивіруси для захисту від фішингу.

MirrorBlast показує, як хакери вдосконалюють методи обходу захисту. Залишайтеся пильними!