СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24.04.2025
#Dev#ИБ

Фишинг и уязвимость CVE-2017-11882: новая угроза Formbook

Фишинг и уязвимость CVE-2017-11882: новая угроза Formbook

Компания FortiGuard Labs, принадлежащая Fortinet, обнаружила новые угрозы в киберпространстве—фишинговую кампанию, использующую уязвимость CVE-2017-11882. Данная уязвимость, связанная с редактором Microsoft Equation Editor, позволяет злоумышленникам выполнять удаленное выполнение кода (RCE).

Подробности угрозы

В рамках текущей кампании злоумышленники предлага­ют новый вариант Formbook—вредоносного ПО, нацеленного на кражу конфиденциальной информации. Formbook ориентирован на системы Windows и предназначен для извлечения следующих данных:

  • Сохранённые учётные данные;
  • Нажатия клавиш;
  • Скриншоты;
  • Содержимое буфера обмена.

Фишинговое электронное письмо маскируется под заказ на продажу и предлагает получателям открыть вложенный документ Word. При открытии документа происходит следующее:

  1. Извлекается 64-разрядный DLL-файл с именем «AdobeID.pdf» во временную папку системы.
  2. Запускается уязвимость в Equation Editor, что позволяет активировать библиотеку DLL.
  3. Данная библиотека служит как загрузчиком и установщиком Formbook, создавая запись об автоматическом запуске в реестре.

Скрытая угроза: бесфайловый вариант Formbook

После активации, извлеченная библиотека DLL инициирует загрузку полезной нагрузки Formbook, замаскированной под файл формата PNG. Это позволяет избежать обнаружения антивирусными решениями на уровне endpoint security, что делает её бесфайловым вариантом Formbook.

Технологические характеристики внедрения

Вредоносное ПО использует передовые методы, включая «опустошение процесса», чтобы внедриться в существующий процесс—например, в C:Program Files (x86)Windows Photo ViewerImagingDevices.exe. Основные API-вызовы включают:

  • NtWriteFile()
  • NtCreateSection()
  • NtMapViewOfSection()

Эти вызовы эффективно отображают расшифрованный исполняемый файл Formbook в память целевого процесса. После завершения подготовки в целевом процессе устанавливается точка входа вредоносной программы, что позволяет ей продолжить выполнение и успешно запустить полезную нагрузку Formbook.

Факт использования таких сложных технологий подчеркивает необходимость постоянного мониторинга и обновления систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: