La compañía de seguridad informática ET Labs descubrió el mes pasado la existencia de una campaña criminal que ahora es conocida como MirrorBlast. La característica más destacada de esta operación es que utiliza archivos Excel para atacar equipos vinculados al sector financiero de la economía.
Detalles del malware empleado para MirrorBlast fueron revelados por otra empresa de seguridad, Morphisec.
Macros
Los archivos Excel utilizados contienen macros de poco peso capaces de pasar inadvertidos por los sistemas de detección.
El set de oficina de Microsoft tiene desactivados los macros por defecto, sin embargo la campaña tiene un elemento de ingeniería social destinado a engañar a los empleados que descargan estos archivos para que habiliten estas opciones.
Los correos con los archivos adjuntos han llegado a equipos en Estados Unidos, Canada y Hong Kong. También se los ha visto en Europa.
Pasos
El primer paso del ataque es un correo con un archivo adjunto. En otras etapas se emplean enlaces con direcciones proxy con una fachada vinculada a los sitios OneDrive y SharePoint. La idea es que el usuario crea que se trata de un pedido para compartir archivos.
Los enlaces llevan a páginas falsas de OneDrive o direcciones de SharePoint preparadas por los agresores.
Responsables
Según Morphisec el grupo criminal detrás de esta campaña sería TA505, una organización de origen ruso. Las técnicas y tácticas utilizadas son similares a otras acciones de su autoría.
