Neue FormBook-Variante zielt im Freien auf Nutzer ab
Inhaltsverzeichnis:
Sicherheitsforscher von FortiGuard Labs haben eine neue Variante von FormBook aufgedeckt, die in einer massiven Phishing-Kampagne verteilt wird. Insbesondere zielen die Angreifer auf Benutzer mit mit Malware verseuchten Microsoft PowerPoint-Dokumenten, die als Folge auf die kürzlich erfolgte Bestellung getarnt sind. Diejenigen, die auf das Lockmittel der Betrüger hereinfielen, infizierten ihre Geräte mit der berüchtigten, datendiebischen Malware. a new FormBook variant being delivered in a massive phishing campaign. Particularly, adversaries target users with malware-laced Microsoft PowerPoint documents disguised as a follow-up to the recent purchase order. Those who fell for the bait of scammers got their devices infected with a notorious data-stealing malware.
Neue FormBook-Phishing-Kampagne
Die Infektion beginnt mit einer Phishing-E-Mail, die als Antwort auf die kürzlich erfolgte Anfrage nach einer Bestellung getarnt ist. Die gefälschte Nachricht fordert die Opfer auf, ein beigefügtes PowerPoint-Dokument zu öffnen, das angeblich zusätzliche Broschüren und Preisinformationen enthält. Bemerkenswert ist, dass die Datei mit der .pps-Erweiterung ausgeliefert wird, was die PowerPoint-Software dazu bringt, sie in der Folienansicht statt im traditionellen Bearbeitungsmodus zu öffnen, der durch die .ppt-Erweiterung vordefiniert ist.
Falls ein Benutzer dazu verleitet wurde, die bösartige Datei zu öffnen und die Folienstapel zu durchsuchen, wird im Hintergrund ein VBA-Skript ausgeführt, um eine Makrofunktion zu aktivieren. Dies wiederum löst den PowerShell-Code aus, der darauf abzielt, eine dedizierte .Net-Datei zu laden. Diese Datei wird weiter über drei stark verschleierte und verschlüsselte .Net-Module übertragen, von denen das letzte das endgültige FormBook-Payload herunterlädt.
Malware-Übersicht
FormBook ist eine berüchtigte datendiebstählende und Formulardieb-Malware, die seit mindestens 2016 aktiv ist. Sie wird aktiv auf Untergrundforen als „Malware-as-a-Service“ verkauft, sodass jeder ein Abonnement kaufen kann, um eine bösartige Kampagne zu starten. Insbesondere wird die Malware als PHP-Kontrollpanel angeboten, mit breiten Anpassungsoptionen für Einstellungen und Funktionen.
FormBook verlässt sich in der Regel auf Malspam für die Verbreitung und nutzt bösartige Anhänge, um seine Nutzlast abzuwerfen. Nach einer Infektion kann die Malware eine Vielzahl von Funktionen ausführen, darunter Anmeldeinformationen auslesen, Screenshots aufnehmen, die Zwischenablage überwachen, Tastenanschläge protokollieren, Browser-Cookies löschen, Dateien herunterladen und ausführen, das System neu starten und herunterfahren und mehr.
Seit seinem Auftauchen war FormBook an mehreren aufsehenerregenden bösartigen Kampagnen beteiligt, darunter der Angriff auf die US-amerikanischen und südkoreanischen Luft- und Raumfahrt-, Verteidigungs- und Fertigungsindustrien im Jahr 2017, die Kampagne gegen US-amerikanische und Nahost Informationsdienste und Finanzsektoren im Jahr 2018 und COVID-19-Phishing-Kampagne im Jahr 2020.
Erkennung neuer FormBook-Varianten
Sich proaktiv vor einer neuen FormBook-Variante mit einer Community-Sigma-Regel unseres aufmerksamen Threat Bounty-Entwicklers Osman Demirverteidigen:
https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Ausführung, Initialer Zugriff
Techniken: Befehlszeilenschnittstelle (T1059), Spearphishing-Anhang (T1566)
Sie können auch die vollständige Liste der FormBook-Erkennungen bereits im Threat Detection Marketplace verfügbar durchsuchen. Bleiben Sie auf unserem Blog auf dem Laufenden für weitere Updates!
Abonnieren Sie den Threat Detection Marketplace kostenlos und steigern Sie Ihre Cyberabwehrfähigkeiten mit über 100.000 Erkennungs- und Reaktionsregeln, Parsern, Suchanfragen und anderen SOC-Inhalten, die nach CVE- und MITRE ATT&CK®-Frameworks abgebildet sind. Halten Sie die neuesten Cybersecurity-Trends im Blick und möchten an Bedrohungsjagdaktivitäten teilnehmen? Treten Sie unserem Threat Bounty-Programm bei!
