СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.01.2025
#ИБ

Новая фишинговая кампания: угроза Formbook усугубляется

Новая фишинговая кампания: угроза Formbook усугубляется

Изображение: www.seqrite.com

Лаборатория Seqrite недавно выявила серьезную фишинговую кампанию, цель которой — похищение Formbook с помощью вредоносных вложений в электронной почте. Это программное обеспечение, предлагающее вредоносное ПО как услугу, активно развивается с 2016 года, предоставляя злоумышленникам разнообразные инструменты для обхода защитных механизмов.

Методы распространения Formbook

В ходе кампании было зафиксировано множество вариантов распространения фишинговых материалов. Все они использовали схожую тактику уклонения от обнаружения. Фишинговые электронные письма обычно содержат вложение, представляющее собой заказ на покупку, зачастую в формате zip-файла.

  • Вложение содержит PE-файл с именем PurchaseOrder.exe.
  • Файл скомпилирован с использованием dotnet.
  • Вредоносное ПО скрывает дальнейшие угрозы в ресурсах PurchaseOrder.exe.

Механизм работы вредоносного ПО

Основной механизм работы Formbook заключается в следующем:

  1. После извлечения PurchaseOrder.exe, он находится в спящем режиме в течение девяти секунд.
  2. Затем приложение расшифровывает полезную нагрузку второго этапа.
  3. Вредоносное ПО проверяет наличие флага мьютекса и создает новый мьютекс, чтобы избежать параллельного запуска.
  4. При наличии флага «Спящий режим» программа приостанавливает выполнение, уменьшая вероятность обнаружения.

Скрытность и устойчивость

Formbook использует различные методы для сохранения своей скрытности, включая:

  • Добавление путей исключения.
  • Скрытие поведения с помощью PowerShell в скрытом окне.
  • Копирование родительского файла с скрытыми атрибутами.

Защита от фишинговых атак

Вредоносное ПО формирует XML-файл в папке %temp% с данными, связанными с задачей, и создает запланированные задачи с скрытыми атрибутами. Это делает его поведение менее предсказуемым. Как только конечная полезная нагрузка расшифрована, произойдет установка целевого процесса для удаления данных на основе указаний хакера.

Эксперты настоятельно рекомендуют пользователям проявлять бдительность в отношении подозрительных электронных писем, особенно тех, которые содержат вложения, чтобы избежать стать жертвами подобных фишинговых кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: