Nueva Variante de FormBook Apunta a Usuarios en la Naturaleza
Tabla de contenidos:
Investigadores de seguridad de FortiGuard Labs han descubierto una nueva variante de FormBook que se está distribuyendo en una campaña masiva de phishing. En particular, los adversarios atacan a los usuarios con documentos de Microsoft PowerPoint cargados de malware, disfrazados como un seguimiento de la reciente orden de compra. Aquellos que cayeron en el anzuelo de los estafadores vieron sus dispositivos infectados con un notorio malware roba-datos.
Nuevo phishing de FormBook
La infección comienza con un correo electrónico de phishing que se hace pasar por una respuesta a la reciente solicitud de una orden de compra. El mensaje falso incita a las víctimas a abrir un documento de PowerPoint adjunto que supuestamente contiene folletos adicionales y detalles de precios. Notablemente, el archivo se entrega con una extensión .pps, lo que empuja al software de PowerPoint a abrirlo en una vista de diapositivas en lugar del modo tradicional de edición predefinido por la extensión .ppt.
En caso de que un usuario sea engañado para abrir el archivo malicioso y busque a través del lote de diapositivas, un script VBA se ejecuta en segundo plano para ejecutar una función Macro. Esto, a su vez, desencadena el código PowerShell destinado a cargar un archivo .Net dedicado. Este archivo se transfiere posteriormente a través de tres módulos .Net altamente ofuscados y encriptados, el último de los cuales descarga la carga final de FormBook.
Visión general del malware
FormBook es un infame malware roba-datos y capturador de formularios que ha estado activo desde al menos 2016. Se vende activamente en foros clandestinos como “malware como servicio”, por lo que cualquiera puede comprar una suscripción para lanzar una campaña maliciosa. En particular, el malware se ofrece como un panel de control PHP, con amplias opciones de personalización para configuraciones y características.
FormBook generalmente depende del malspam para su distribución y aprovecha los archivos adjuntos maliciosos para desplegar su carga. Tras la infección, el malware es capaz de realizar una gran variedad de funciones, incluyendo volcado de credenciales, captura de pantallas, monitoreo del portapapeles, registro de pulsaciones de teclas, limpieza de cookies del navegador, descarga y ejecución de archivos, reinicio y apagado del sistema, y más.
Desde su aparición, FormBook ha estado involucrado en varias campañas maliciosas ruidosas, incluyendo el ataque contra EE. UU. y Corea del Sur en las industrias aeroespacial, de defensa y manufactura en 2017, la campaña contra EE. UU. y Medio Oriente en los sectores de servicios de información y financieros en 2018, y campaña de phishing COVID-19 en 2020.
Detección de la nueva variante de FormBook
Defiéndase proactivamente de una nueva variante de FormBook con una regla Sigma comunitaria de nuestro agudo desarrollador de Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Tácticas: Ejecución, Acceso Inicial
Técnicas: Interfaz de línea de comandos (T1059), Adjunto de spearphishing (T1566)
También puedes consultar la lista completa de detecciones de FormBook ya disponible en Threat Detection Marketplace. ¡Mantente atento a nuestro blog para más actualizaciones!
Suscríbete a Threat Detection Marketplace de forma gratuita y mejora tus capacidades de defensa cibernética con más de 100,000 reglas de detección y respuesta, analizadores, consultas de búsqueda y otro contenido SOC mapeado a los marcos CVE y MITRE ATT&CK®. ¿Estás atento a las últimas tendencias en ciberseguridad y quieres participar en actividades de caza de amenazas? ¡Únete a nuestro Programa de Bounty de Amenazas!
