FormBook colpisce con falsi allegati DOC, XLS, ZIP, RAR, ACE e ISO
Il cybercrime ha lanciato una cyber offensiva con una campagna di distribuzione del malware FormBook. I bersagli sono aziende aerospaziali, della difesa e del manufatturiero. Lo ha rivelato FireEye. Gli aggressori per diffonderlo impiegano una varietà di metodi di consegna. In particolare falsi allegati PDF che contengono link di download; files DOC e XLS con macro malevole e oggetti ZIP, RAR, ACE e ISO, al cui interno sono presenti payloads eseguibili. Più in dettaglio, le campagne PDF e DOC/XLS hanno preso di mira soprattutto imprese negli Usa. Quelle legate agli archivi, invece, sono state dirette sia verso gli Stati Uniti sia in Corea del Sud.
Perché il cybercrime usa questo malware
FormBook ruba data e cattura il contenuto dei modelli, ricorda FireEye. Dal 2016, il malware è stato pubblicizzato su una serie di forum di hacker, come un servizio in affitto (malware-as-a-service, MAAS) o in vendita. Nel primo caso i prezzi variano da 29 dollari a settimana a 59 al mese, fino a 99 per un intero trimestre. nel secondo, è possibile acquistarlo in un pacchetto “pro” per 299 dollari. Opera inserendosi all’interno di vari processi e installando funzioni per agganciare log keystrokes e rubare i contenuti della clipboard della vittima. Successivamente, estrae i dati dalle sessioni HTTP. E’ anche in grado di eseguire comandi da un server C&C, inclusi quelli di download e di esecuzione di files, l’apertura di processi e lo spegnimento e il riavvio di un sistema. Può anche sottrarre illecitamente i cookies e le password locali di un dispositivo infetto.
La sua pericolosità è data dalle caratteristiche e dal fatto che costa poco. Per FireEye sarà usato anche in futuro per cyber attacchi
FormBook, secondo FireEye, è estremamente difficile da rilevare a causa delle sue caratteristiche e del suo metodo di persistenza. Questo, infatti, è in grado di cambiare il path, il nome del file, l’estensione e la chiave di registro usata per restare all’interno di un sistema. A quanto si apprende, il creatore del malware non vende il suo builder, ma solo il pannello che genera i files eseguibili. Ciò lo rende, di conseguenza, abbastanza facile da usare. Questo, unito al fatto che è disponibile a tutti e i prezzi per affittarlo sono competitivi, lo ha reso un malware molto popolare. E’ probabile, perciò, che sarà usato anche in futuro dal cybercrime per offensive cyber.