Malware Formbook impacta EUA e Coréia do Sul

Campanhas de distribuição utilizaram PDFs com links, arquivos DOC e XLS com macros e arquivos compactados ZIP, RAR, entre outros, contendo payloads .EXE; malware rouba dados de formulários, conteúdos na área de transferência e sessões HTTP

Por: Redação, ⌚ 19/10/2017 às 17h25 - Atualizado em 19/10/2017 às 17h25

A FireEye observou nos últimos meses diversas campanhas de distribuição do malware FormBook, visando principalmente as indústrias Aeroespacial, de Defesa e Manufatura, nos Estados Unidos e na Coréia do Sul. Os atacantes envolvidos nessas campanhas de e-mail utilizaram-se de uma variedade de mecanismos para distribuir o malware de roubo de informações, incluindo: PDFs com links para download; Arquivos DOC e XLS com macros maliciosas; Archive files (ZIP, RAR, ACE e ISOs) contendo payloads EXE.

 

As campanhas de PDF e DOC/XLS impactaram principalmente os Estados Unidos e as Campanhas Archive impactaram amplamente os Estados Unidos e a Coréia do Sul.

 

FormBook

 

O FormBook, malware que rouba dados e capta formulários, tem sido anunciado em vários fóruns hackers desde o início de 2016.

 

O malware injeta-se em vários processos e instala ganchos para roubar conteúdos do clipboard e extrair dados de sessões HTTP. O malware também pode executar comandos de um servidor de comando e controle (C2). Os comandos podem instruir o malware para baixar e executar arquivos, iniciar processos, desligar e reiniciar o sistema, além de roubar cookies e senhas locais.

 

Ele também possui um método de persistência que altera aleatoriamente o caminho, o nome do arquivo, a extensão do arquivo e a chave de registro utilizada para a persistência.

 

O autor do malware não vende o builder; ele vende apenas o painel e gera os arquivos executáveis como um serviço.

 

Campanhas de distribuição

 

PDF

 

As campanhas de PDF utilizaram como tema de e-mail a remessa/ entrega de pacotes da FedEx e DHL, bem como temas de compartilhamento de documentos. Os PDFs distribuídos não continham códigos maliciosos, apenas um link para baixar o payload do FormBook.

 

DOC/XLS

 

As campanhas de e-mail que distribuíram arquivos DOC e XLS dependeram do uso de macros mal-intencionadas para baixar a carga útil executável. Quando as macros estão ativadas, a URL de download recupera um arquivo executável com uma extensão de PDF. As tecnologias de detecção de FireEye observaram esta atividade maliciosa entre 11 e 22 de agosto de 2017. Grande parte da atividade foi observada nos Estados Unidos, e as verticais mais visadas foram Aeroespacial e Defesa.

 

Archive

 

A campanha Archive entregou vários formatos de arquivos, incluindo ZIP, RAR, ACE e ISO, e representou o maior volume de distribuição. Ela criou uma infinidade de linhas de assunto de e-mail, que eram caracteristicamente relacionadas a negócios e muitas vezes se referiam a pagamento ou compra.

 

As tecnologias de detecção de FireEye observaram atividades desta campanha entre 18 de julho e 17 de agosto de 2017. Grande parte da atividade foi observada na Coréia do Sul e nos Estados Unidos, sendo a indústria de Manufatura a mais impactada.

 

Conclusão

 

Embora o FormBook não seja exclusivo em suas funcionalidades ou mecanismos de distribuição, sua relativa facilidade de uso, estrutura de preços acessíveis e disponibilidade aberta fazem dele uma opção atraente para cibercriminosos de diferentes níveis de habilidade. Nas últimas semanas, o FormBook foi visto baixando outras famílias de malwares, como o NanoCore. As credenciais e outros dados colhidos por infecções bem-sucedidas do FormBook podem ser usados para outras atividades de crimes cibernéticos, incluindo: roubo de identidade, operações de phishing continuadas, fraude bancária e extorsão.

 

O relatório completo pode ser lido aqui (em inglês).

 



Newsletter

Graça Sermoud
Marcos Semola
Ronaldo Hayashi
Joaquim Garcia

/ VEJA TAMBÉM



/ COMENTÁRIOS