Nuova Variante di FormBook Prende di Mira gli Utenti Online
Indice:
I ricercatori di sicurezza di FortiGuard Labs hanno scoperto una nuova variante di FormBook distribuita in una massiccia campagna di phishing. In particolare, gli avversari prendono di mira gli utenti con documenti Microsoft PowerPoint infetti da malware, camuffati da seguito a un recente ordine d’acquisto. Coloro che sono caduti nella trappola degli scammer si sono ritrovati con i loro dispositivi infettati dal noto malware per il furto di dati.
Nuovo phishing FormBook
L’infezione inizia con un’email di phishing che si presenta come una risposta alla recente richiesta di un ordine d’acquisto. Il messaggio falso invita le vittime ad aprire un documento PowerPoint allegato che, presumibilmente, conterrebbe opuscoli aggiuntivi e dettagli sui prezzi. In particolare, il file è consegnato con un’estensione .pps, che spinge il software PowerPoint ad aprirlo in modalità presentazione invece che in modalità di modifica tradizionale preimpostata dal file con estensione .ppt.
Nel caso un utente sia stato ingannato ad aprire il file dannoso e a cercare tra il lotto di diapositive, uno script VBA si esegue in background per avviare una funzione Macro. Questo, a sua volta, innesca il codice PowerShell volto a caricare un file .Net dedicato. Questo file viene ulteriormente trasferito attraverso tre moduli .Net altamente offuscati e criptati, l’ultimo dei quali scarica il payload finale di FormBook.
Panoramica Malware
FormBook è un noto malware per il furto di dati e il grabbing dei moduli che è attivo almeno dal 2016. È venduto attivamente nei forum underground come “malware-as-a-service,” quindi chiunque può acquistare un abbonamento per lanciare una campagna dannosa. In particolare, il malware è offerto come un pannello di controllo PHP, con ampie opzioni di personalizzazione per le impostazioni e le funzioni.
FormBook di solito si basa su malspam per la distribuzione e sfrutta allegati dannosi per rilasciare il suo payload. Dopo l’infezione, il malware è in grado di eseguire una vasta gamma di funzioni, tra cui il dumping delle credenziali, la cattura di screenshot, il monitoraggio degli appunti, la registrazione di sequenze di tasti, la cancellazione dei cookie del browser, il download e l’esecuzione di file, il riavvio e lo spegnimento del sistema, e altro.
Dalla sua comparsa, FormBook è stato coinvolto in diverse campagne dannose notevoli, tra cui l’ attacco contro USA e Corea del Sud nelle industrie aerospaziale, della difesa e manifatturiera nel 2017, la campagna contro le informazioni utenti USA e Medio Oriente e i settori dei servizi e finanziari nel 2018, e la campagna di phishing COVID-19 nel 2020.
Rilevamento nuova variante FormBook
Difenditi proattivamente da una nuova variante di phishing FormBook con una regola Sigma della nostra comunità sviluppatore Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Tattiche: Esecuzione, Accesso Iniziale
Tecniche: Interfaccia a riga di comando (T1059), Allegato Spearphishing (T1566)
Puoi anche controllare la lista completa delle rilevazioni FormBook già disponibili nel Threat Detection Marketplace. Resta sintonizzato sul nostro blog per ulteriori aggiornamenti!
Iscriviti gratuitamente al Threat Detection Marketplace e migliora le tue capacità di difesa informatica con oltre 100K regole di rilevamento e risposta, parser, query di ricerca e altri contenuti SOC mappati a CVE e MITRE ATT&CK® frameworks. Sei attento alle ultime tendenze della cybersecurity e vuoi partecipare a attività di threat hunting? Unisciti al nostro Programma Threat Bounty!
