FormBook, un nuevo ejemplar de malware-as-a-service

  • Actualidad

El autor puso mucho esfuerzo en el vector de infección usando múltiples documentos maliciosos en un solo correo de phishing. FormBook es capaz de grabar pulsaciones de teclas, robar contraseñas y tomar capturas de pantalla.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Cisco Talos ha estado rastreando desde mayo una nueva campaña que involucra el malware FormBook, que utiliza cuatro documentos maliciosos diferentes en un solo correo electrónico de phishing. FormBook es un software asequible disponible como "malware como servicio". Esto significa que un atacante puede comprar una pieza compilada de malware en función de sus parámetros deseados. Esto es algo común con el malware tipo crimeware como FormBook. Una vez ha llegado a su víctima es capaz de grabar pulsaciones de teclas, robar contraseñas (almacenadas localmente y en formularios web) y tomar capturas de pantalla.

El autor puso mucho esfuerzo en el vector de infección usando múltiples documentos maliciosos en un solo correo. También mezcló diferentes formatos de archivo (documentos PDF y Microsoft Office) y utilizó dos exploits públicos de Microsoft Office (CVE-2017-0199 y CVE-2017-11882) para descargar la carga final en el sistema de destino. La carga final fue descargada durante la campaña desde una pequeña plataforma japonesa de intercambio de archivos (alojada en Holanda). Desde entonces, el propietario de la plataforma ha eliminado los archivos binarios de la carga maliciosa de su sistema.

Cisco Talos identificó una superposición de infraestructura entre esta campaña y una campaña anterior relacionada con el malware Pony, que utilizaba los archivos de Microsoft Publisher para entregar su carga útil. Existe la posibilidad de que el actor que está detrás de estos dos ataques sea el mismo debido a una superposición en la infraestructura de los dos ataques. Si ese es el caso, el actor podría cambiar entre Pony y FormBook para poder continuar sus actividades maliciosas durante más de un año.