FireEye observó varias campañas de distribución de alto volumen del malware FormBook atacando primordialmente los sectores aeroespacial, contratistas de defensa y manufactura dentro de Estados Unidos y Corea del Sur durante los últimos meses. Los atacantes involucrados en estas campañas de correos aprovechan una variedad de mecanismos de distribución para entregar la información robada por el malware FormBook, incluyendo PDFs con enlaces de descarga, archivos DOC y XLS con macros maliciosas y archivos ZIP, RAR, ACE e ISO que contienen cargas EXE.
Las campañas de PDF y DOC/XLS impactan principalmente Estados Unidos y las campañas de archivos han impactado Estados Unidos y Corea del Sur.
FormBook es un ladrón de datos y capturador de formas que ha sido anunciado en varios foros de hackers desde comienzos del 2016.
El malware se inyecta en varios procesos e instala anzuelos de funciones para registrar las pulsaciones de teclado, robar contenidos del portapapeles y extraer datos de las sesiones HTTP. El malware puede también ejecutar comandos de un servidor de comando y control (C2), los comandos incluyen instruir al malware para descargar y ejecutar archivos, comenzar procesos, apagar y reiniciar el sistema y robar cookies y passwords locales.
También cuenta con un método de persistencia que cambio al azar la ruta, nombre del archivo, extensión del archivo y la clave de registro usada para la persistencia.
El autor del malware no vende el constructor sino solamente el panel y luego genera los archivos ejecutables como un servicio.
Los investigadores de FireEye han observado que FormBook se distribuye vía campañas de email usando una gran variedad de adjuntos diferentes:
• PDFs con enlaces al servicio de abreviación de URLs “tny.im”, que luego redirecciona a un servidor de montaje que contiene las cargas ejecutables de FormBook.
• Adjuntos DOC y XLS que contienen macros maliciosas que, cuando se activan, inician la descarga de las cargas de FormBook.
• Adjuntos ZIP, RAR, ACE e ISO que contienen archivos ejecutables de FormBook.
Las campañas de PDF aprovechan los temas de envío y entrega de paquetes por FedEx y DHL, así como un tema de compartir documentos. Los PDFs distribuidos no contienen código malicioso, solo un enlace para descargar la carga de FormBook.
Las campañas de distribución por email de archivos DOC y XLS, en tanto, dependen del uso de macros maliciosos para descargar las cargas ejecutables. Cuando las macros se activan el URL de la descarga recupera un archivo ejecutable con extensión PDF.
Las tecnologías de detección de FireEye observaron esta actividad maliciosa entre el 11 y 22 de agosto de 2017. Mucha de la actividad se observó en los Estados Unidos y la industria objetivo principalmente fue contratistas de aeroespacial/defensa.
La campaña de archivos entregados en diversos formatos, incluyendo ZIP, RAR, ACE e ISO, se ha contabilizado como el más alto volumen de distribución. Aprovechan la observación de asuntos relacionados típicamente con negocios y comúnmente tienen que ver con órdenes de pago o compra.
Las tecnologías de detección de FireEye observaron actividad de esta campaña entre el 18 de julio y 17 de agosto de 2017. Mucha de esta actividad se observó en Corea del Sur y Estados Unidos, siendo la vertical de la industria manufacturera la más impactada.
FormBook no es único tanto en su funcionalidad como en sus mecanismos de distribución, es relativamente fácil de usar, tiene una estructura de precios razonables y disponibilidad abierta, lo que lo hace una atractiva opción para cibercriminales de varios niveles de habilidad. En las últimas semanas, FormBook fue visto descargando otras familias de malware como NanoCore. Las credenciales y otros datos cosechados de infecciones exitosas de FormBook pueden ser usadas para actividades adicionales de ciber crimen, incluyendo, pero no limitado a: robo de identidad, operaciones continuas de phishing, fraude bancario y extorsión.