به گزارش کارگروه حملات سایبری سایبربان؛ طبق ادعای محققین امنیتی شرکت Morphisec (مورفیسِک) گروه هکری TA505 در یک کمپین جدید، موسسات مالی فعال در چندین کشور دنیا را با استفاده از فایل های کم حجم اکسل مورد هدف قرار می دهد و اقدام به انتشار بدافزار می کند.
این حملات سازمان های مختلفی را در کانادا، آمریکا، هنگ کنگ، اروپا و.. مورد هدف قرار می دهند. موتور اسکن ویروس توتال گوگل نیز به ندرت توانسته آن ها را شناسایی کند.
این کمپین که MirrorBlast ( میرِر بلَست ) نام دارد اوایل سپتامبر آغاز شد.
زنجیره آلوده سازی با ارسال سند مخربی از طریق ایمیل های فیشینگ آغاز می شود و سپس با استفاده از URL فید پراکسی گوگل، شیر درایو و وان درایو درخواست جعلی اشتراک گذاری فایل ارسال می کند.
URL ها قربانی را به سایت های جعلی وان درایو یا شیر پوینت هدایت می کند. این کار می تواند کار شناسایی مهاجمین را دشوار کند.
ماکرو کدهای اجرا شده در این حملات، تنها بر روی نسخه 32 بیتی آفیس اجرا می شود. این کد مسئول بررسی موارد ضد سند باکسینگ می باشد.
مورفیسک معتقد است که گروه هکری روس TA505 یا همان Evil Corp ( اولیل کورپ ) مسئول این حملات است. این گروه هکری از سال 2014 فعالیت دارد و به دلیل استفاده از تروجان دریدکس و باج افزار لاکی مورد توجه قرار دارد.
