Contenido de Detección: Formbook Distribuido a través de Falso PDF (Comportamiento de Sysmon)

El brote de Covid19 ha revelado una serie de puntos ciegos de la ciberseguridad. Hacemos lo mejor para mantenerlo informado sobre las últimas tendencias en nuestras Charlas Semanales, seminarios web, Digests de contenido relevante. Sin embargo, la curiosidad humana en el flujo de información puede ser un punto débil. FormBook, el infostealer conocido desde 2016, ha sido distribuido activamente a través de una campaña de correo electrónico que entrega un archivo PDF con información relacionada con Covid19. El ladrón de datos FormBook carece de algunas características de un malware bancario completo, pero aún puede tomar capturas de pantalla, monitorear el portapapeles, capturar contraseñas de clientes de correo electrónico y navegadores, así como tener una visión clara de las solicitudes de red de la víctima. Recibiendo comandos del servidor de Comando y Control, FormBook toma el mando de la máquina de la víctima, incluyendo la ejecución de comandos a través de ShellExecute, limpiando el historial del navegador, reiniciando la máquina y controlando el bot desde el sistema anfitrión.

En la campaña reciente, el correo electrónico, que se ve más a menudo a través del navegador, pretende contener la información actualizada sobre el brote de Covid19, pero en realidad entrega el GuLoader que luego instala el troyano FormBook.

La regla Formbook Dropped Through Fake PDF (Sysmon Behavior) por Lee Archinal, participante activo del programa Threat Bounty Developer, ayuda a detectar la actividad de FormBook: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Interfaz de Línea de Comandos (T1059), Eliminación de Indicadores en el Host (T1070), Modificar Registro (T1112)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.