Malware Formbook impacta EUA e Coréia do Sul

Campanhas de distribuição utilizaram PDFs com links, arquivos DOC e XLS com macros e arquivos compactados ZIP, RAR, entre outros, contendo payloads .EXE; malware rouba dados de formulários, conteúdos na área de transferência e sessões HTTP

Compartilhar:

A FireEye observou nos últimos meses diversas campanhas de distribuição do malware FormBook, visando principalmente as indústrias Aeroespacial, de Defesa e Manufatura, nos Estados Unidos e na Coréia do Sul. Os atacantes envolvidos nessas campanhas de e-mail utilizaram-se de uma variedade de mecanismos para distribuir o malware de roubo de informações, incluindo: PDFs com links para download; Arquivos DOC e XLS com macros maliciosas; Archive files (ZIP, RAR, ACE e ISOs) contendo payloads EXE.

 

As campanhas de PDF e DOC/XLS impactaram principalmente os Estados Unidos e as Campanhas Archive impactaram amplamente os Estados Unidos e a Coréia do Sul.

 

FormBook

 

O FormBook, malware que rouba dados e capta formulários, tem sido anunciado em vários fóruns hackers desde o início de 2016.

 

O malware injeta-se em vários processos e instala ganchos para roubar conteúdos do clipboard e extrair dados de sessões HTTP. O malware também pode executar comandos de um servidor de comando e controle (C2). Os comandos podem instruir o malware para baixar e executar arquivos, iniciar processos, desligar e reiniciar o sistema, além de roubar cookies e senhas locais.

 

Ele também possui um método de persistência que altera aleatoriamente o caminho, o nome do arquivo, a extensão do arquivo e a chave de registro utilizada para a persistência.

 

O autor do malware não vende o builder; ele vende apenas o painel e gera os arquivos executáveis como um serviço.

 

Campanhas de distribuição

 

PDF

 

As campanhas de PDF utilizaram como tema de e-mail a remessa/ entrega de pacotes da FedEx e DHL, bem como temas de compartilhamento de documentos. Os PDFs distribuídos não continham códigos maliciosos, apenas um link para baixar o payload do FormBook.

 

DOC/XLS

 

As campanhas de e-mail que distribuíram arquivos DOC e XLS dependeram do uso de macros mal-intencionadas para baixar a carga útil executável. Quando as macros estão ativadas, a URL de download recupera um arquivo executável com uma extensão de PDF. As tecnologias de detecção de FireEye observaram esta atividade maliciosa entre 11 e 22 de agosto de 2017. Grande parte da atividade foi observada nos Estados Unidos, e as verticais mais visadas foram Aeroespacial e Defesa.

 

Archive

 

A campanha Archive entregou vários formatos de arquivos, incluindo ZIP, RAR, ACE e ISO, e representou o maior volume de distribuição. Ela criou uma infinidade de linhas de assunto de e-mail, que eram caracteristicamente relacionadas a negócios e muitas vezes se referiam a pagamento ou compra.

 

As tecnologias de detecção de FireEye observaram atividades desta campanha entre 18 de julho e 17 de agosto de 2017. Grande parte da atividade foi observada na Coréia do Sul e nos Estados Unidos, sendo a indústria de Manufatura a mais impactada.

 

Conclusão

 

Embora o FormBook não seja exclusivo em suas funcionalidades ou mecanismos de distribuição, sua relativa facilidade de uso, estrutura de preços acessíveis e disponibilidade aberta fazem dele uma opção atraente para cibercriminosos de diferentes níveis de habilidade. Nas últimas semanas, o FormBook foi visto baixando outras famílias de malwares, como o NanoCore. As credenciais e outros dados colhidos por infecções bem-sucedidas do FormBook podem ser usados para outras atividades de crimes cibernéticos, incluindo: roubo de identidade, operações de phishing continuadas, fraude bancária e extorsão.

 

O relatório completo pode ser lido aqui (em inglês).

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...