Malware Formbook entregado a traves de documentos de Word RTF

Campaña de formbook con lo que parecen unos pocos cambios. Recientemente, los delincuentes que distribuyen este malware han estado utilizando archivos .exe dentro de varias formas de un archivo

Con frecuencia, utilizan diversas vulnerabilidades del Editor de ecuaciones de Microsoft Office para ponerse en contacto con un sitio remoto y descargar la carga útil. Muy ocasionalmente he visto usar macros.

Todavía están utilizando el CVE-2017-11882 Equation Editor Exploit en documentos de Word RTF con formato incorrecto para entregar el malware. Pero el método ha cambiado ligeramente con un documento masivo de 2 mb de word que cuando se abre solo muestra un par de palabras y un pequeño cuadro vacío.

FormBook es un ladrón de datos, pero no un banquero de pleno derecho (malware bancario). Actualmente no tiene extensiones ni complementos. Sus capacidades incluyen:

  • Registro de claves
  • Monitoreo del portapapeles
  • Captura de formularios HTTP / HTTPS / SPDY / HTTP2 y solicitudes de red
  • Captura de contraseñas de los navegadores y clientes de correo electrónico
  • Capturas de pantalla
  • FormBook puede recibir los siguientes comandos remotos del servidor CnC
  • Actualizar bot en el sistema host
  • Descargar y ejecutar el archivo.
  • Eliminar bot del sistema host
  • Ejecutar un comando a través de ShellExecute
  • Borrar las cookies del navegador
  • Reiniciar el sistema
  • Sistema apagado
  • Recoge contraseñas y crea una captura de pantalla.
  • Descargar y descomprimir el archivo ZIP

Comportamiento de esta campaña.

Tiene varios comportamientos como, persistencia, proceso de inyección, empaquetador, funciones, inicio, baliza. Si ve JS o .EXE o .COM o .PIF o .SCR o .HTA .vbs, .wsf, .jse .jar al final del nombre del archivo NO haga clic en él ni intente abrirlo, se infectará.

  • 1.) Se detectó Formbook
  • 2.) Cargas eliminadas o reescritas ejecutables
  • 3.) Robo de datos de credenciales
  • 4.) Cambia el valor de ejecución automática en el registro
  • 5.) Las acciones se parecen al robo de datos personales
  • 6.) La aplicación se eliminó o se volvió a escribir desde otro proceso
  • 7.) Se conecta al servidor CnC
  • 8.) El Editor de ecuaciones inicia la aplicación (CVE-2017-11882)
  • 9.) El contenido ejecutable se eliminó o sobrescribió
  • 10.) Inicia la aplicación con una extensión inusual
  • 11.) La aplicación se inició solo
  • 12.) Lee la máquina GUID del registro
Fecha actualización el 2021-01-30. Fecha publicación el 2019-01-30. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware