СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.04.2025
#ИБ

Атака FormBook: новые угрозы через фишинговые письма

Атака FormBook: новые угрозы через фишинговые письма

Недавняя кампания по распространению вредоносных программ выявила использование хакерами службы Horus Protector для доставки FormBook, похитителя информации. Эта технология, впервые обнаруженная в прошлом году, нацелена на скрытие своей активности и избегание обнаружения антивирусами.

Как происходит атака

Атака начинается с фишинговых электронных писем, которые содержат вредоносные вложения в виде документов Microsoft Word. При открытии этих документов применяется метод обфускации Horus Protector для внедрения FormBook. Структура зараженных документов выглядит следующим образом:

  • Документы Word представлены в виде сжатых файлов.
  • После извлечения они превращаются в RTF-файл под названием Panama.rtf, расположенный в каталоге _rels.
  • Этот RTF-файл содержит встроенный файл сценария Client.vbe, написанный на Visual Basic.

Анализ кода и его функции

Несмотря на наличие потенциального эксплойта для уязвимости удаленного выполнения кода (CVE-2017-11882), в процессе выполнения атаки он не используется. Расшифровка кода VBE показывает, что он состоит из нескольких ключевых компонентов:

  • Constants and Configuration: Запутанный скрипт VBS, который сохраняется в каталоге AppData как lJlpBAHduOhBIlJ.vbs.
  • Функция, проверяющая запущенные процессы, и, в случае необходимости, запускающая PowerShell для выполнения команд из реестра.
  • Методы управления записями реестра, включая завершение процессов и динамическую загрузку .NET компонентов.

Усложнение обнаружения атаки

Фрагментарное хранение файла FormBook PE в нескольких разделах реестра позволяет ему занимать больше объема, чем это возможно при использовании стандартных записей реестра. Главная логика скрипта объединяет все элементы, настраивая пути, корректируя записи реестра, создавая запланированные задачи и управляя выполнением FormBook в зависимости от заданных условий.

Заключение: важность защиты от фишинга

Динамический анализ показал, что встроенный RTF-файл запускает сценарий VBE, создавая записи в реестре и файл VBS в AppData, а также запланированную задачу для постоянного выполнения. PowerShell становится ключевым инструментом для многоэтапного развертывания FormBook, внедряя вредоносное ПО в законные процессы Windows, например, RegAsm.exe. Это значительно усложняет его обнаружение с помощью традиционных средств безопасности.

Кампания подчеркивает опасности, связанные с тактикой социальной инженерии, особенно через использование вложений в документы. Для защиты необходимо реализовать меры по блокировке вредоносных электронных писем и предупреждению дальнейших атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: