Contenu de Détection : Formbook Déployé via un Faux PDF (Comportement Sysmon)

[post-views]
juillet 22, 2020 · 2 min de lecture
Contenu de Détection : Formbook Déployé via un Faux PDF (Comportement Sysmon)

L’épidémie de Covid19 a révélé un certain nombre de failles dans la cybersécurité. Nous faisons de notre mieux pour vous tenir au courant des dernières tendances lors de nos discussions hebdomadaires, webinaires, et résumés de contenu pertinents. Cependant, la curiosité humaine dans le flot d’informations peut être un point faible. FormBook, l’infostealer connu depuis 2016, a été activement distribué via une campagne de courrier électronique délivrant un fichier PDF avec des informations liées au Covid19. Le voleur de données FormBook manque de certaines fonctionnalités d’un logiciel malveillant bancaire à part entière, mais il peut tout de même faire des captures d’écran, surveiller le presse-papiers, récupérer les mots de passe des clients de messagerie et des navigateurs, ainsi qu’avoir une vue claire des requêtes réseau de la victime. En recevant des commandes du serveur de Commandement et de Contrôle, FormBook prend le contrôle de la machine de la victime, y compris l’exécution de commandes via ShellExecute, la suppression de l’historique du navigateur, le redémarrage de la machine, et le retrait à distance du bot du système hôte.

Dans la campagne récente, le courriel, le plus souvent consulté via un navigateur, prétend contenir des informations à jour sur l’épidémie de Covid19, mais en réalité il livre le GuLoader qui installe ensuite le cheval de Troie FormBook.

 

La règle ‘Formbook Dropped Through Fake PDF (Sysmon Behavior)’ par Lee Archinal, participant actif du programme Threat Bounty Developer, aide à repérer l’activité de FormBook : https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

 

La règle dispose de traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Exécution, Évasion de la Défense

Techniques : Interface en ligne de commande (T1059), Suppression d’indicateur sur l’hôte (T1070), Modification du registre (T1112)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko