A FireEye observou nos últimos meses diversas campanhas de distribuição do malware FormBook, visando principalmente as indústrias Aeroespacial, de Defesa e Manufatura, nos Estados Unidos e na Coréia do Sul. Os atacantes envolvidos nessas campanhas de e-mail utilizaram-se de uma variedade de mecanismos para distribuir o malware de roubo de informações, incluindo: PDFs com links para download; Arquivos DOC e XLS com macros maliciosas; Archive files (ZIP, RAR, ACE e ISOs) contendo payloads EXE.
As campanhas de PDF e DOC/XLS impactaram principalmente os Estados Unidos e as Campanhas Archive impactaram amplamente os Estados Unidos e a Coréia do Sul.
FormBook
O FormBook, malware que rouba dados e capta formulários, tem sido anunciado em vários fóruns hackers desde o início de 2016.
O malware injeta-se em vários processos e instala ganchos para roubar conteúdos do clipboard e extrair dados de sessões HTTP. O malware também pode executar comandos de um servidor de comando e controle (C2). Os comandos podem instruir o malware para baixar e executar arquivos, iniciar processos, desligar e reiniciar o sistema, além de roubar cookies e senhas locais.
Ele também possui um método de persistência que altera aleatoriamente o caminho, o nome do arquivo, a extensão do arquivo e a chave de registro utilizada para a persistência.
O autor do malware não vende o builder; ele vende apenas o painel e gera os arquivos executáveis como um serviço.
Campanhas de distribuição
As campanhas de PDF utilizaram como tema de e-mail a remessa/ entrega de pacotes da FedEx e DHL, bem como temas de compartilhamento de documentos. Os PDFs distribuídos não continham códigos maliciosos, apenas um link para baixar o payload do FormBook.
DOC/XLS
As campanhas de e-mail que distribuíram arquivos DOC e XLS dependeram do uso de macros mal-intencionadas para baixar a carga útil executável. Quando as macros estão ativadas, a URL de download recupera um arquivo executável com uma extensão de PDF. As tecnologias de detecção de FireEye observaram esta atividade maliciosa entre 11 e 22 de agosto de 2017. Grande parte da atividade foi observada nos Estados Unidos, e as verticais mais visadas foram Aeroespacial e Defesa.
Archive
A campanha Archive entregou vários formatos de arquivos, incluindo ZIP, RAR, ACE e ISO, e representou o maior volume de distribuição. Ela criou uma infinidade de linhas de assunto de e-mail, que eram caracteristicamente relacionadas a negócios e muitas vezes se referiam a pagamento ou compra.
As tecnologias de detecção de FireEye observaram atividades desta campanha entre 18 de julho e 17 de agosto de 2017. Grande parte da atividade foi observada na Coréia do Sul e nos Estados Unidos, sendo a indústria de Manufatura a mais impactada.
Conclusão
Embora o FormBook não seja exclusivo em suas funcionalidades ou mecanismos de distribuição, sua relativa facilidade de uso, estrutura de preços acessíveis e disponibilidade aberta fazem dele uma opção atraente para cibercriminosos de diferentes níveis de habilidade. Nas últimas semanas, o FormBook foi visto baixando outras famílias de malwares, como o NanoCore. As credenciais e outros dados colhidos por infecções bem-sucedidas do FormBook podem ser usados para outras atividades de crimes cibernéticos, incluindo: roubo de identidade, operações de phishing continuadas, fraude bancária e extorsão.
O relatório completo pode ser lido aqui (em inglês).
