Contenuto di Rilevamento: Formbook Diffuso Tramite PDF Falso (Comportamento Sysmon)

L’epidemia di Covid19 ha rivelato diverse lacune nella cybersecurity. Facciamo del nostro meglio per tenervi aggiornati sulle ultime tendenze tramite i nostri Weekly Talks, webinar, Digests di contenuti rilevanti. Tuttavia, la curiosità umana nel flusso di informazioni potrebbe rappresentare un punto debole. FormBook, il ladro di informazioni noto dal 2016, è stato distribuito attivamente tramite campagne email che consegnano un file PDF con informazioni relative a Covid19. Il data stealer FormBook manca di alcune funzionalità di un malware bancario completo, ma può comunque fare screenshot, monitorare gli appunti, catturare password da client email e browser, oltre a ottenere una visione chiara delle richieste di rete della vittima. Ricevendo comandi dal server di Command and Control, FormBook ottiene il comando del computer della vittima, incluso l’avvio di comandi tramite ShellExecute, la cancellazione della cronologia del browser, il riavvio della macchina e il controllo remoto del bot dal sistema host.

Nella recente campagna, l’email, spesso visualizzata tramite browser, finge di contenere le informazioni aggiornate sull’epidemia di Covid19, ma in realtà consegna il GuLoader che installa ulteriormente il trojan FormBook.

La regola Formbook Dropped Through Fake PDF (Sysmon Behavior) di Lee Archinal, partecipante attivo del programma Threat Bounty Developer, aiuta a individuare l’attività di FormBook: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Evasione delle Difese

Tecniche: Interfaccia da Riga di Comando (T1059), Rimozione di Indicatori sul Host (T1070), Modifica del Registro (T1112)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità TDM.