La campaña, conocida como MirrorBlast, tiene como objetivo los sectores financieros de varios países. Una combinación de macros ligeros y engaños es clave en la operación, cuya autoría se atribuye al grupo ruso TA505.
La compañía de seguridad informática ET Labs descubrió el mes pasado la existencia de una campaña criminal que ahora es conocida como MirrorBlast. La característica más destacada de esta operación es que utiliza archivos Excel para atacar equipos vinculados al sector financiero de la economía.
Detalles del malware empleado para MirrorBlast fueron revelados por otra empresa de seguridad, Morphisec.
Macros Los archivos Excel utilizados contienen macros de poco peso capaces de pasar inadvertidos por los sistemas de detección.
El set de oficina de Microsoft tiene desactivados los macros por defecto, sin embargo la campaña tiene un elemento de ingeniería social destinado a engañar a los empleados que descargan estos archivos para que habiliten estas opciones.
Los correos con los archivos adjuntos han llegado a equipos en Estados Unidos, Canada y Hong Kong. También se los ha visto en Europa.
Pasos El primer paso del ataque es un correo con un archivo adjunto. En otras etapas se emplean enlaces con direcciones proxy con una fachada vinculada a los sitios OneDrive y SharePoint. La idea es que el usuario crea que se trata de un pedido para compartir archivos.
Los enlaces llevan a páginas falsas de OneDrive o direcciones de SharePoint preparadas por los agresores.
Responsables Según Morphisec el grupo criminal detrás de esta campaña sería TA505, una organización de origen ruso. Las técnicas y tácticas utilizadas son similares a otras acciones de su autoría.