Sul web circola un malware molto pericoloso, è FormBook. Cattura la digitazione dell’utente, ruba password e acquisisce schermate. E’ disponibile come “malware as service” (MAAS) ed elude sandbox e antivirus
Sul web circola un malware molto pericoloso, è FormBook. Lo rileva il CERT della Pubblica Amministrazione (CERT-PA) nel suo ultimo bollettino. Il codice malevolo è in grado di catturare la digitazione dell’utente, rubare password e acquisire schermate. Può essere realizzato velocemente e “su misura”. Ciò in quanto è disponibile come malware-as-service (MAAS). Inoltre, elude i sistemi di sicurezza come sandbox o antivirus, non essendo presente codice o shellcode nel documento dannoso. Si basa invece su una catena di infezione che prevede una fase di scaricamento di un file malevolo da remoto. E’ in corso una cyber campagna malspam per la sua diffusione tramite allegati nei messaggi di posta (phishing o spam), che sfruttano due note vulnerabilità di Microsoft Office. La precedente era stata svelata dagli esperti di sicurezza informatica di Menlo Security e aveva preso di mira i settori finanziari e dell’informazione in Medio Oriente e negli Stati Uniti.
Gli elementi del cybercrime che conducono la campagna malspam, forse gli stessi di quella con il malware Pony di febbraio, diffondono il codice malevolo attraverso 4 differenti documenti in una singola email di phishing
I ricercatori di cyber security di Talos hanno scoperto che da maggio c’è una nuova campagna di malspam con FormBook. Il malware viene diffuso attraverso 4 differenti documenti malevoli in una singola email di phishing. Per le sue caratteristiche di MAAS si ritiene che a farlo circolare siano esponenti del cybercrime, più o meno esperti, che però potrebbero non essere gli autori del codice. Invece, c’è la probabilità che questi ultimi siano responsabili anche di una campagna, avvenuta lo scorso febbraio e relativa al malware Pony. I criminali informatici in quell’occasione hanno sfruttato i file Microsoft Publisher per distribuire il loro payload. Potenzialmente, infatti, c’è una sovrapposizione nell’infrastruttura dei due cyber attacchi. “In tal caso – ricordano da Talos -l’attore potrebbe passare da Pony a FormBook per poter continuare le proprie attività dannose per più di un anno”.