Uważaj na pliki Excela. Trwa kampania phishingowa MirrorBlast

Podczas przeglądania poczty e-mail warto zwrócić szczególną uwagę na załączniki prowadzące do pobrania plików z chmury Microsoftu. Trwa bowiem kampania phishingowa zwana MirrorBlast, w ramach której rozsyłane są wiadomości z zainfekowanymi załącznikami.

Jak opisuje ZDNet, scenariusz pobierania szkodliwego pliku jest nieco inny niż zazwyczaj. Zainfekowany dokument nie jest sam w sobie załącznikiem e-maila. Jest nim plik, który dopiero skłoni użytkownika do odwiedzenia fałszywej strony logowania OneDrive'a lub SharePointa, gdzie pobierze plik Excela, którzy przez badaczy zwany jest "uzbrojonym". W praktyce chodzi o zaszyte w nim makra.

Co ciekawe, w tym przypadku kod można wykonać jedynie w 32-bitowych wersjach pakietu Office, przez co grono zagrożonych odbiorców kampanii jest siłą rzeczy ograniczone. Makro sprowadza się w tym przypadku do wykonania skryptu, który omija zabezpieczenia związane z "piaskownicą". Finalnie pobierany i instalowany jest zainfekowany pakiet MSI.

Jak ustalili badacze, docelowo na komputer ofiary trafia jeszcze szereg innych programów, w tym skrypt KiXtart przekazujący informacje o komputerze atakującym oraz Rebol prowadzący do instalacji oprogramowania FlawedGrace. To ostatnie jest narzędziem zdalnego dostępu i było już w przeszłości używane przez grupę TA505, której przypisuje się obecną kampanię phishingową.

Aby uniknąć problemów, jak zawsze w przypadku phishingu radzimy po pierwsze ze zdwojoną uwagą oceniać wiarygodność e-maili, po drugie zaś - nie klikać podejrzanych łączy i nie pobierać bez uzasadnienia załączników. Ostateczną "czerwoną lampką" powinno być żądanie uruchomienia makr w otwartym arkuszu kalkulacyjnym Excel, czego oczywiście nie należy robić.