Похищающий информацию вредонос FormBook атакует США и Южную Корею

Published

В течение последних нескольких месяцев специалисты компании FireEyeinfo  наблюдали несколько крупномасштабных рекламных кампаний, распространяющих вредоноса FormBook.

FormBook славится тем, что похищает важную информацию, в данном случае он был нацелен на авиационно-космическую и производственную сферы США и Южной Кореи.

Зловред FormBook доставляется пользователям через электронную почту в нескольких видах:

  • PDF-файлы с ссылками на скачивание
  • Файлы DOC и XLS, содержащие вредоносные макросы
  • Архивы ZIP, RAR, ACE и ISO, внутри которых располагается exe-файл

PDF и DOC/XLS были замечена в атаках на США, когда архивы рассылались как в США, так и в Южную Корею. К слову, FormBook рекламировался на различных хакерских форумах с начала 2016 года.

Вредоносная программа внедряется в различные процессы, записывает нажатие клавиш и извлекает информацию из HTTP-сессий жертвы. Также предусмотрено выполнение команд, поступающих от сервера злоумышленников, в их перечень входит загрузка и запуск файлов, запуск процессов, завершение работы или перезагрузка системы, а также кража файлов cookie и локальных паролей.

Одной из наиболее интересных функций FormBook является считывание модуля Windows ntdll.dll и прямой вызов его функций, что делает перехват уровня пользователями неэффективным. Также зловред отличается тем, что случайным образом изменяет путь, имя файла, расширение файла и раздел реестра, используемый для сохранения, чтобы обеспечить себе долгое присутствие в системе.

Возможности FormBook включают:

  • Логирование нажатий клавиш

  • Мониторинг буфера обмена

  • Получение информации из HTTP/HTTPS/SPDY/HTTP2-форм

  • Кража паролей из браузеров и почтовых клиентов

  • Снятие скриншотов

FormBook может получать следующие удаленные команды с сервера злоумышленников:

  • Обновить бота в системе

  • Загрузить и выполнить файл

  • Удалить бот из хост-системы

  • Запустить команду через ShellExecute

  • Очистить файлы cookies браузера

  • Перезагрузить систему

  • Выключить систему

  • Собрать пароли и сделать скриншот

  • Загрузить и распаковать ZIP-архив

Сервер киберпреступников находится, как правило, в следующих доменах верхнего уровня: .site, .website, .tech, .online и .info. Инфраструктура сервера размещена на украинском хостинге BlazingFast.io.

Конфиденциальные данные, собранные с помощью FormBook, могут использоваться для дополнительных действий киберпреступников, например, для вымогательства или мошенничества с банками. //  Anti-Malware 
Like

You may also like...