Nova Variante do FormBook Alveja Usuários Na Natureza Selvagem
Índice:
Pesquisadores de segurança da FortiGuard Labs descobriram uma nova variante do FormBook sendo entregue em uma campanha massiva de phishing. Em particular, os adversários visam os usuários com documentos Microsoft PowerPoint carregados de malware disfarçados como um seguimento ao pedido de compra recente. Aqueles que caíram na isca dos golpistas tiveram seus dispositivos infectados com um notório malware de roubo de dados. a new FormBook variant being delivered in a massive phishing campaign. Particularly, adversaries target users with malware-laced Microsoft PowerPoint documents disguised as a follow-up to the recent purchase order. Those who fell for the bait of scammers got their devices infected with a notorious data-stealing malware.
Novo Phishing do FormBook
A infecção começa com um e-mail de phishing disfarçado como uma resposta ao pedido de compra recente. A mensagem falsa leva as vítimas a abrir um documento PowerPoint anexado, supostamente contendo brochuras adicionais e detalhes de preços. Notavelmente, o arquivo é entregue com uma extensão .pps, o que faz o software PowerPoint abri-lo na visualização de slides em vez do modo de edição tradicional, predefinido pela extensão de arquivo .ppt.
Caso o usuário seja enganado a abrir o arquivo malicioso e navegar pelo lote de slides, um script VBA é executado em segundo plano para rodar uma função de Macro. Isso, por sua vez, aciona o código PowerShell destinado a carregar um arquivo .Net dedicado. Este arquivo é transferido por três módulos .Net altamente ofuscados e criptografados, sendo que o último deles baixa a carga final do FormBook.
Visão Geral do Malware
FormBook é um infame malware de roubo de dados e captura de formulários que está ativo desde pelo menos 2016. É ativamente vendido em fóruns subterrâneos como “malware como serviço”, para que qualquer pessoa possa comprar uma assinatura para lançar uma campanha maliciosa. Em particular, o malware é oferecido como um painel de controle PHP, com amplas opções de personalização para configurações e recursos.
O FormBook normalmente depende de malspam para distribuição e utiliza anexos maliciosos para liberar sua carga. Após a infecção, o malware é capaz de realizar uma vasta gama de funções, incluindo despejo de credenciais, captura de tela, monitoramento da área de transferência, registro de pressionamento de teclas, limpeza de cookies do navegador, download e execução de arquivos, reinicialização e desligamento do sistema, entre outros.
Desde o seu surgimento, o FormBook esteve envolvido em várias campanhas maliciosas ruidosas, incluindo o ataque contra os EUA e a Coreia do Sul indústrias aeroespacial, de defesa e manufatura em 2017, a campanha contra os EUA e o Oriente Médio setores de serviços de informação e financeiro em 2018, e campanha de phishing da COVID-19 em 2020.
Detecção de Nova Variante do FormBook
Defenda-se proativamente de uma nova variante de phishing do FormBook com uma regra Sigma da comunidade do nosso atento desenvolvedor do Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Execução, Acesso Inicial
Técnicas: Interface de Linha de Comando (T1059), Anexo Spearphishing (T1566)
Você também pode verificar a lista completa de detecções do FormBook já disponível no Threat Detection Marketplace. Fique atento ao nosso blog para mais atualizações!
Assine o Threat Detection Marketplace gratuitamente e aumente suas capacidades de defesa cibernética com mais de 100K+ regras de detecção e resposta, parsers, consultas de busca e outros conteúdos SOC mapeados para os frameworks CVE e MITRE ATT&CK®. Acompanhando de perto as últimas tendências em cibersegurança e quer participar de atividades de caça às ameaças? Junte-se ao nosso Programa Threat Bounty!
