Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)

Neueste Bedrohungen

Juli 22, 2020

2 min zu lesen

Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Der Covid19-Ausbruch hat eine Reihe von Schwachstellen in der Cybersicherheit offenbart. Wir tun unser Bestes, um Sie über die neuesten Trends in unseren Weekly Talks, Webinaren und relevanten Content-Digests auf dem Laufenden zu halten. Doch menschliche Neugierde in der Informationsflut kann eine Schwachstelle sein. FormBook, der seit 2016 bekannte Infostealer, wird aktiv über eine E-Mail-Kampagne verbreitet, die eine PDF-Datei mit Covid19-bezogenen Informationen liefert. Der FormBook-Datendieb fehlt einige Funktionen einer vollwertigen Banking-Malware, kann aber dennoch Screenshots machen, die Zwischenablage überwachen, Passwörter von E-Mail-Clients und Browsern stehlen und einen klaren Überblick über die Netzwerkaktivitäten des Opfers erhalten. Indem er Befehle vom Command and Control-Server erhält, erlangt FormBook die Kontrolle über die Maschine des Opfers, einschließlich des Startens von Befehlen über ShellExecute, Löschen des Browserverlaufs, Neustart der Maschine und Remote-Steuerung des Bots vom Hostsystem.

In der jüngsten Kampagne gibt sich die E-Mail, die am häufigsten über den Browser betrachtet wird, als aktuelle Information über den Covid19-Ausbruch aus, liefert tatsächlich jedoch den GuLoader, der den FormBook-Trojaner weiter installiert.

 

Die durch gefälschtes PDF verbreitete FormBook (Sysmon-Verhalten) Regel von Lee Archinal, aktivem Teilnehmer des Threat Bounty Developer Programms, hilft bei der Entdeckung der FormBook-Aktivität: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsumgehung

Techniken: Befehlszeilenschnittstelle (T1059), Indikatorenentfernung auf dem Host (T1070), Registrierung ändern (T1112)

 

Bereit, SOC Prime TDM auszuprobieren? Registrieren Sie sich kostenlos. Oder nehmen Sie am Threat Bounty Program teil , um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko