Durante il terzo trimestre del 2017, FireEye ha osservato diverse campagne ad alto volume di distribuzione mirate ai settori aerospaziale, consulenti della difesa e manifatturiero negli Stati Uniti e Corea del Sud.
Gli aggressori coinvolti in queste campagne email hanno sfruttato una varietà di meccanismi di distribuzione per trasmettere il malware FormBook per il furto di informazioni.
Tra le tecniche utilizzate figurano file PDF con link di download, file DOC e XLS con macro malevole, file di archivio (ZIP, RAR, ACE e ISO) contenenti payload EXE.
Nello specifico, secondo gli specialisti del team dei FireEye Labs, le campagne PDF e DOC/XLS hanno colpito principalmente gli Stati Uniti, mentre le campagne Archive hanno avuto un impatto importante anche in Corea del Sud.
Chi è e come funziona FormBook
FormBook è un malware per furto di dati e un intercettatore di dati in form, pubblicizzato su vari forum di hacking dall’inizio del 2016. Il malware si inietta in vari processi, installando deviazioni applicative per registrare la digitazione dei tasti, con l’intento di rubare i contenuti degli appunti ed estrarre i dati dalle sessioni HTTP.
Inoltre, il trojan in questione può anche eseguire istruzioni da un server di comando e controllo: i comandi istruiscono il malware per scaricare ed eseguire file, avviare processi, arrestare e riavviare il sistema e rubare cookie e password locali.
Sempre FormBook è, poi, dotato di un meccanismo di persistenza che modifica in modo casuale il percorso, il nome del file, l’estensione del file e la chiave di registro utilizzata per la persistenza.
L’autore del malware non vende il prodotto finito ma solo il pannello per poi generare i file eseguibili come servizio.
FormBook è un software per furti di dati ma non è un vero e proprio malware bancario. Attualmente non ha estensioni o plug-in e le sue capacità includono: registrazioni dei tasti, monitoraggio degli appunti, intercettazione di moduli HTTP/HTTPS/SPDY/HTTP2 e richieste di rete, acquisizione di password da browser ed email clienti e persino screenshot.
Anche se FormBook non è unico per funzionalità o meccanismi di distribuzione, la sua relativa facilità d’uso, la struttura dei prezzi accessibile e la disponibilità aperta lo rendono un’opzione interessante per i cyber criminali di vari livelli di abilità.
