В течение последних нескольких месяцев специалисты компании FireEye наблюдали несколько крупномасштабных рекламных кампаний, распространяющих вредоноса FormBook. FormBook славится тем, что похищает важную информацию, в данном случае он был нацелен на авиационно-космическую и производственную сферы США и Южной Кореи.
Зловред FormBook доставляется пользователям через электронную почту в нескольких видах:
- PDF-файлы с ссылками на скачивание
- Файлы DOC и XLS, содержащие вредоносные макросы
- Архивы ZIP, RAR, ACE и ISO, внутри которых располагается exe-файл
PDF и DOC/XLS были замечена в атаках на США, когда архивы рассылались как в США, так и в Южную Корею. К слову, FormBook рекламировался на различных хакерских форумах с начала 2016 года.
Вредоносная программа внедряется в различные процессы, записывает нажатие клавиш и извлекает информацию из HTTP-сессий жертвы. Также предусмотрено выполнение команд, поступающих от сервера злоумышленников, в их перечень входит загрузка и запуск файлов, запуск процессов, завершение работы или перезагрузка системы, а также кража файлов cookie и локальных паролей.
Одной из наиболее интересных функций FormBook является считывание модуля Windows ntdll.dll и прямой вызов его функций, что делает перехват уровня пользователями неэффективным. Также зловред отличается тем, что случайным образом изменяет путь, имя файла, расширение файла и раздел реестра, используемый для сохранения, чтобы обеспечить себе долгое присутствие в системе.
Возможности FormBook включают:
- Логирование нажатий клавиш
- Мониторинг буфера обмена
- Получение информации из HTTP/HTTPS/SPDY/HTTP2-форм
- Кража паролей из браузеров и почтовых клиентов
- Снятие скриншотов
FormBook может получать следующие удаленные команды с сервера злоумышленников:
- Обновить бота в системе
- Загрузить и выполнить файл
- Удалить бот из хост-системы
- Запустить команду через ShellExecute
- Очистить файлы cookies браузера
- Перезагрузить систему
- Выключить систему
- Собрать пароли и сделать скриншот
- Загрузить и распаковать ZIP-архив
Сервер киберпреступников находится, как правило, в следующих доменах верхнего уровня: .site, .website, .tech, .online и .info. Инфраструктура сервера размещена на украинском хостинге BlazingFast.io.
Конфиденциальные данные, собранные с помощью FormBook, могут использоваться для дополнительных действий киберпреступников, например, для вымогательства или мошенничества с банками.
