O surto de Covid19 revelou uma série de pontos cegos na cibersegurança. Fazemos o nosso melhor para mantê-lo informado sobre as últimas tendências em nossas Palestras Semanais, webinars, Digestos de conteúdos relevantes. No entanto, a curiosidade humana em meio ao fluxo de informações pode ser um ponto fraco. FormBook, o infostealer conhecido desde 2016, tem sido ativamente distribuído via campanha de e-mail entregando um arquivo PDF com informações relacionadas à Covid19. O ladrão de dados FormBook carece de algumas funcionalidades de um malware bancário completo, mas ainda pode fazer capturas de tela, monitorar a área de transferência, capturar senhas de clientes de e-mail e navegadores, bem como ter uma visão clara das solicitações de rede da vítima. Recebendo comandos do servidor de Comando e Controle, o FormBook assume o comando da máquina da vítima, incluindo o lançamento de comandos via ShellExecute, limpeza do histórico do navegador, reinicialização da máquina e retirada do bot do sistema host.
Na campanha recente, o e-mail, mais frequentemente visualizado através do navegador, finge conter informações atualizadas sobre o surto de Covid19, mas na verdade entrega o GuLoader, que posteriormente instala o trojan FormBook.
A regra Formbook Dropped Through Fake PDF (Comportamento Sysmon) por Lee Archinal, participante ativo do programa Threat Bounty Developer, ajuda a identificar a atividade do FormBook: https://tdm.socprime.com/tdm/info/co0YEMTw3AYS/NufncHMBPeJ4_8xcY7Tr/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Interface de Linha de Comando (T1059), Remoção de Indicadores no Host (T1070), Modificação de Registro (T1112)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
