A WatchGuard Technologies anuncia a identificação de duas campanhas ativas de phishing utilizadas para distribuir o malware FormBook, uma ameaça voltada ao roubo de credenciais em sistemas Windows e amplamente disseminada no modelo malware-as-a-service.
As campanhas estão atingindo organizações na Grécia, Espanha, Eslovênia, Bósnia e Herzegovina, Croácia e América Latina, utilizando e-mails que se disfarçam de comunicações sobre pagamentos e pedidos para fazer com que as vítimas abram os anexos maliciosos.
Malware explora engenharia social e arquivos comprimidos
O FormBook é um malware que se tornou conhecido em 2016 e é vendido em fóruns ilegais, visando a coleta de informações sensíveis, como credenciais de login, dados de navegadores e capturas de tela.
Nos ataques observados pelo WatchGuard Threat Lab, os criminosos utilizam arquivos comprimidos anexados a e-mails de phishing, explorando o contexto de documentos financeiros e comerciais para aumentar a taxa de abertura.
Campanha 1 usa DLL side-loading em softwares legítimos
Na primeira campanha identificada, os anexos contêm arquivos compactados com executáveis legítimos combinados a DLLs maliciosas, explorando a técnica de DLL side-loading.
Essa abordagem permite que um programa confiável carregue uma biblioteca adulterada, executando código malicioso de forma disfarçada.
Entre os softwares explorados de forma indevida estão ferramentas legítimas como Sandboxie-plus, TikTok desktop, componentes do Adobe Acrobat Reader e utilitários de compressão.
A análise mostrou que a DLL maliciosa cria arquivos temporários no sistema e injeta diretamente o payload do FormBook, permitindo sua execução sem alertas imediatos.
Campanha 2 usa JavaScript ofuscado e PowerShell
Na segunda campanha, o ataque começa com arquivos JavaScript altamente ofuscados. Ao serem executados, esses scripts utilizam PowerShell para decodificar cargas úteis em Base64 e AES, além de empregar imagens aparentemente inofensivas como parte do processo de ocultação do payload.
O fluxo culmina na execução de um loader .NET personalizado, associado a ferramentas já utilizadas na entrega de outras famílias de malware e agora adaptado para distribuir o FormBook.
Execução em memória e evasão avançada
Em ambas as campanhas, o payload final do FormBook utiliza técnicas de execução em memória e mapeamento manual de bibliotecas do sistema, como ntdll.dll.
Esse comportamento reduz a detecção por soluções tradicionais, permitindo que o malware interaja diretamente com o sistema operacional e execute funções críticas sem deixar rastros evidentes em disco.
Indicadores de comprometimento e recomendação
A WatchGuard destaca que esse tipo de campanha demonstra como o FormBook continua a evoluir, incorporando diversas técnicas de evasão.
A empresa recomenda atenção especial a anexos comprimidos em e-mails, execução de scripts via PowerShell, carregamento anômalo de DLLs e comportamento suspeito em processos associados a arquivos abertos pelo usuário.
Para identificar esse tipo de ameaça de forma eficaz, é preciso correlacionar comportamentos em toda a cadeia de ataque, e não apenas observar indicadores isolados.
