Conteúdo de Detecção: Formbook Disparado por PDF Falso (Comportamento Sysmon)

O surto de Covid19 revelou uma série de pontos cegos na cibersegurança. Fazemos o nosso melhor para mantê-lo informado sobre as últimas tendências em nossas Palestras Semanais, webinars, Digestos de conteúdos relevantes. No entanto, a curiosidade humana em meio ao fluxo de informações pode ser um ponto fraco. FormBook, o infostealer conhecido desde 2016, tem sido ativamente distribuído via campanha de e-mail entregando um arquivo PDF com informações relacionadas à Covid19. O ladrão de dados FormBook carece de algumas funcionalidades de um malware bancário completo, mas ainda pode fazer capturas de tela, monitorar a área de transferência, capturar senhas de clientes de e-mail e navegadores, bem como ter uma visão clara das solicitações de rede da vítima. Recebendo comandos do servidor de Comando e Controle, o FormBook assume o comando da máquina da vítima, incluindo o lançamento de comandos via ShellExecute, limpeza do histórico do navegador, reinicialização da máquina e retirada do bot do sistema host.

Na campanha recente, o e-mail, mais frequentemente visualizado através do navegador, finge conter informações atualizadas sobre o surto de Covid19, mas na verdade entrega o GuLoader, que posteriormente instala o trojan FormBook.

A regra Formbook Dropped Through Fake PDF (Comportamento Sysmon) por Lee Archinal, participante ativo do programa Threat Bounty Developer, ajuda a identificar a atividade do FormBook: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa

Técnicas: Interface de Linha de Comando (T1059), Remoção de Indicadores no Host (T1070), Modificação de Registro (T1112)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.