Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)

Der Covid19-Ausbruch hat eine Reihe von Schwachstellen in der Cybersicherheit offenbart. Wir tun unser Bestes, um Sie über die neuesten Trends in unseren Weekly Talks, Webinaren und relevanten Content-Digests auf dem Laufenden zu halten. Doch menschliche Neugierde in der Informationsflut kann eine Schwachstelle sein. FormBook, der seit 2016 bekannte Infostealer, wird aktiv über eine E-Mail-Kampagne verbreitet, die eine PDF-Datei mit Covid19-bezogenen Informationen liefert. Der FormBook-Datendieb fehlt einige Funktionen einer vollwertigen Banking-Malware, kann aber dennoch Screenshots machen, die Zwischenablage überwachen, Passwörter von E-Mail-Clients und Browsern stehlen und einen klaren Überblick über die Netzwerkaktivitäten des Opfers erhalten. Indem er Befehle vom Command and Control-Server erhält, erlangt FormBook die Kontrolle über die Maschine des Opfers, einschließlich des Startens von Befehlen über ShellExecute, Löschen des Browserverlaufs, Neustart der Maschine und Remote-Steuerung des Bots vom Hostsystem.

In der jüngsten Kampagne gibt sich die E-Mail, die am häufigsten über den Browser betrachtet wird, als aktuelle Information über den Covid19-Ausbruch aus, liefert tatsächlich jedoch den GuLoader, der den FormBook-Trojaner weiter installiert.

Die durch gefälschtes PDF verbreitete FormBook (Sysmon-Verhalten) Regel von Lee Archinal, aktivem Teilnehmer des Threat Bounty Developer Programms, hilft bei der Entdeckung der FormBook-Aktivität: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsumgehung

Techniken: Befehlszeilenschnittstelle (T1059), Indikatorenentfernung auf dem Host (T1070), Registrierung ändern (T1112)

Bereit, SOC Prime TDM auszuprobieren? Registrieren Sie sich kostenlos. Oder nehmen Sie am Threat Bounty Program teil , um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.