Nouvelle Variante FormBook Cible les Utilisateurs en Liberté

[post-views]
avril 16, 2021 · 4 min de lecture
Nouvelle Variante FormBook Cible les Utilisateurs en Liberté

Les chercheurs en sécurité de FortiGuard Labs ont découvert une nouvelle variante de FormBook délivrée dans une vaste campagne de phishing. En particulier, les adversaires ciblent les utilisateurs avec des documents Microsoft PowerPoint infectés par des logiciels malveillants, déguisés en suivi de bon de commande récent. Ceux qui sont tombés dans le piège des escrocs ont vu leurs appareils infectés par un malware voleur de données notoire. 

Nouveau Phishing FormBook

L’infection commence par un e-mail de phishing se faisant passer pour une réponse à la demande récente de bon de commande. Le faux message incite les victimes à ouvrir un document PowerPoint joint prétendument contenant des brochures supplémentaires et des détails sur les prix. Notamment, le fichier est livré avec une extension .pps, obligeant le logiciel PowerPoint à l’ouvrir en mode diaporama plutôt qu’en mode édition traditionnel prédéfini par l’extension de fichier .ppt. 

Si un utilisateur est trompé pour ouvrir le fichier malveillant et naviguer parmi le lot de diapositives, un script VBA s’exécute en arrière-plan pour lancer une fonction Macro. Cela déclenche à son tour le code PowerShell destiné à charger un fichier .Net dédié. Ce fichier est ensuite transféré via trois modules .Net hautement obscurcis et cryptés, dont le dernier télécharge le charge utile final de FormBook. 

Vue d’ensemble du Malware

FormBook est un malware voleur de données et form-grabber infâme qui est actif depuis au moins 2016. Il est activement vendu sur les forums clandestins en tant que “malware-as-a-service”, donc n’importe qui peut acheter un abonnement pour lancer une campagne malveillante. En particulier, le malware est proposé comme un panneau de contrôle PHP, avec de larges options de personnalisation pour les paramètres et les fonctionnalités.

FormBook s’appuie généralement sur le malspam pour sa distribution et utilise des pièces jointes malveillantes pour déposer sa charge utile. Lors d’une infection, le malware est capable de réaliser un vaste éventail de fonctions, y compris le vidage des informations d’identification, la capture des captures d’écran, la surveillance du presse-papiers, la journalisation des frappes, l’effacement des cookies du navigateur, le téléchargement et l’exécution de fichiers, le redémarrage et l’arrêt du système, et plus encore.

Depuis son apparition, FormBook a été impliqué dans plusieurs campagnes malveillantes retentissantes, y compris l’ attaque contre les États-Unis et la Corée du Sud dans les industries aéronautique, de défense et de fabrication en 2017, la campagne contre les États-Unis et le Moyen-Orient dans les secteurs des services d’information et financiers en 2018, et la campagne de phishing COVID-19 en 2020.

Détection de la nouvelle variante de FormBook

Défendez-vous proactivement contre une nouvelle variante de phishing FormBook avec une règle Sigma communautaire de notre développeur alerte de Threat Bounty Osman Demir

https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma 

La règle a des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

EDR: Carbon Black, Sentinel One, Microsoft Defender ATP

MITRE ATT&CK:

Tactiques : Exécution, Accès Initial

Techniques : Interface en ligne de commande (T1059), Pièce jointe de spearphishing (T1566)

Vous pouvez également consulter la liste complète des détections FormBook déjà disponible dans le Threat Detection Marketplace. Restez à l’écoute de notre blog pour d’autres mises à jour !

Abonnez-vous gratuitement à Threat Detection Marketplace et boostez vos capacités de défense cybernétique avec plus de 100K règles de détection et de réponse, parseurs, requêtes de recherche, et autres contenus SOC cartographiés avec les cadres CVE et MITRE ATT&CK®. Vous gardez un œil attentif sur les dernières tendances en cybersécurité et souhaitez participer à des activités de chasse aux menaces ? Rejoignez notre programme Threat Bounty !

Aller sur la plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko