Durante il terzo trimestre del 2017, FireEye ha osservato diverse campagne ad alto volume di distribuzione mirate ai settori aerospaziale, consulenti della Difesa e manifatturiero negli Stati Uniti e Corea del Sud.
Gli aggressori coinvolti in queste campagne email hanno sfruttato una varietà di meccanismi di distribuzione per trasmettere il malware FormBook per il furto di informazioni; tali tecniche hanno incluso file PDF con link di download, file DOC e XLS con macro malevole, file di archivio (ZIP, RAR, ACE e ISO) contenenti payload EXE.
Le campagne PDF e DOC/XLS hanno colpito principalmente gli Stati Uniti, mentre le campagne Archive hanno avuto un impatto importante su Stati Uniti e Corea del Sud.
FormBook è un malware per furto di dati e un intercettatore di dati in form, pubblicizzato su vari forum di hacking dall’inizio del 2016.
Il malware si inietta in vari processi, installando deviazioni applicative per registrare la digitazione dei tasti, rubare i contenuti degli appunti ed estrarre i dati dalle sessioni HTTP.
Il malware può anche eseguire istruzioni da un server di comando e controllo. I comandi istruiscono il malware per scaricare ed eseguire file, avviare processi, arrestare e riavviare il sistema e rubare cookie e password locali.
FormBook è dotato di un meccanismo di persistenza che modifica in modo casuale il percorso, il nome del file, l’estensione del file e la chiave di registro utilizzata per la persistenza.
L’autore del malware non vende il prodotto finito ma solo il pannello per poi generare i file eseguibili come servizio.
FormBook è un software per furti di dati ma non è un vero e proprio malware bancario. Attualmente non ha estensioni o plug-in e le sue capacità includono: registrazioni dei tasti, monitoraggio degli appunti, intercettazione di moduli HTTP/HTTPS/SPDY/HTTP2 e richieste di rete, acquisizione di password da browser ed email clienti e persino screenshot.
Anche se FormBook non è unico per funzionalità o meccanismi di distribuzione, la sua relativa facilità d’uso, la struttura dei prezzi accessibile e la disponibilità aperta rendono FormBook un’opzione interessante per i cyber criminali di vari livelli di abilità.
