Malware Formbook impacta EUA e Coréia do Sul

Campanhas de distribuição utilizaram PDFs com links, arquivos DOC e XLS com macros e arquivos compactados ZIP, RAR, entre outros, contendo payloads .EXE; malware rouba dados de formulários, conteúdos na área de transferência e sessões HTTP

Compartilhar:

A FireEye observou nos últimos meses diversas campanhas de distribuição do malware FormBook, visando principalmente as indústrias Aeroespacial, de Defesa e Manufatura, nos Estados Unidos e na Coréia do Sul. Os atacantes envolvidos nessas campanhas de e-mail utilizaram-se de uma variedade de mecanismos para distribuir o malware de roubo de informações, incluindo: PDFs com links para download; Arquivos DOC e XLS com macros maliciosas; Archive files (ZIP, RAR, ACE e ISOs) contendo payloads EXE.

 

As campanhas de PDF e DOC/XLS impactaram principalmente os Estados Unidos e as Campanhas Archive impactaram amplamente os Estados Unidos e a Coréia do Sul.

 

FormBook

 

O FormBook, malware que rouba dados e capta formulários, tem sido anunciado em vários fóruns hackers desde o início de 2016.

 

O malware injeta-se em vários processos e instala ganchos para roubar conteúdos do clipboard e extrair dados de sessões HTTP. O malware também pode executar comandos de um servidor de comando e controle (C2). Os comandos podem instruir o malware para baixar e executar arquivos, iniciar processos, desligar e reiniciar o sistema, além de roubar cookies e senhas locais.

 

Ele também possui um método de persistência que altera aleatoriamente o caminho, o nome do arquivo, a extensão do arquivo e a chave de registro utilizada para a persistência.

 

O autor do malware não vende o builder; ele vende apenas o painel e gera os arquivos executáveis como um serviço.

 

Campanhas de distribuição

 

PDF

 

As campanhas de PDF utilizaram como tema de e-mail a remessa/ entrega de pacotes da FedEx e DHL, bem como temas de compartilhamento de documentos. Os PDFs distribuídos não continham códigos maliciosos, apenas um link para baixar o payload do FormBook.

 

DOC/XLS

 

As campanhas de e-mail que distribuíram arquivos DOC e XLS dependeram do uso de macros mal-intencionadas para baixar a carga útil executável. Quando as macros estão ativadas, a URL de download recupera um arquivo executável com uma extensão de PDF. As tecnologias de detecção de FireEye observaram esta atividade maliciosa entre 11 e 22 de agosto de 2017. Grande parte da atividade foi observada nos Estados Unidos, e as verticais mais visadas foram Aeroespacial e Defesa.

 

Archive

 

A campanha Archive entregou vários formatos de arquivos, incluindo ZIP, RAR, ACE e ISO, e representou o maior volume de distribuição. Ela criou uma infinidade de linhas de assunto de e-mail, que eram caracteristicamente relacionadas a negócios e muitas vezes se referiam a pagamento ou compra.

 

As tecnologias de detecção de FireEye observaram atividades desta campanha entre 18 de julho e 17 de agosto de 2017. Grande parte da atividade foi observada na Coréia do Sul e nos Estados Unidos, sendo a indústria de Manufatura a mais impactada.

 

Conclusão

 

Embora o FormBook não seja exclusivo em suas funcionalidades ou mecanismos de distribuição, sua relativa facilidade de uso, estrutura de preços acessíveis e disponibilidade aberta fazem dele uma opção atraente para cibercriminosos de diferentes níveis de habilidade. Nas últimas semanas, o FormBook foi visto baixando outras famílias de malwares, como o NanoCore. As credenciais e outros dados colhidos por infecções bem-sucedidas do FormBook podem ser usados para outras atividades de crimes cibernéticos, incluindo: roubo de identidade, operações de phishing continuadas, fraude bancária e extorsão.

 

O relatório completo pode ser lido aqui (em inglês).

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

95% das empresas reportaram ataques relacionados à nuvem, aponta pesquisa

Levantamento revela ainda que 92% das empresas atacadas reportaram que dados sensíveis foram expostos e ainda 58% reconhecem que estes...
Security Report | Overview

Uso de IA nas seleções de emprego apresenta riscos de segurança

Tecnologia cada vez mais presente nos processos de Recursos Humanos têm pontos de alerta para um tratamento justo, seguro e...
Security Report | Overview

Fortinet aposta em primeiro assistente com IA generativa para IoT

Security Report | Overview

Players anunciam experiência integrada de observabilidade para empresas

Cisco anuncia a primeira de suas integrações com a Splunk, que permitirá uma visibilidade única e insights em tempo real...