Лаборатория FortiGuard Labs недавно поймала документ Excel со встроенным файлом в дикой природе. В этот раз внимание привлекло то, что имя встроенного файла было случайным. После быстрого изучения файла, было определено что файл использует определенную уязвимость - CVE-2017-11882 - для выполнения вредоносного кода, чтобы доставить и запустить вредоносное ПО на устройстве жертвы.
В этом анализе вы увидите, как созданный документ Excel использует CVE-2017-11882, что он делает при эксплуатации уязвимости, какие семейства вредоносного ПО он может загрузить на устройство жертвы и какие вредоносные действия может совершить злоумышленник.
Formbook Stealer IOCs
Indicators of Compromise
Domains
- 234sportsagency.com
- 453wow.com
- advidd.com
- affnewyork888s.com
- andreas-setiarama.com
- ariedejongtv.com
- aroma4pets.com
- asdmohs18.website
- bedmate-ventricose.net
- belicosocigars.com
- bloombyz.store
- brandmarkenterprises.com
- bryar.top
- cambriacr.com
- cassavaproject.com
- colaye.us
- creativacr.com
- deniz2fotograf.online
- devopstp.com
- edenq.com
- emjghq.com
- enerplus.uk
- ere46.site
- excel-facile.online
- fairblare.sbs
- fineclocksandsoaps.com
- fullstackchannel.net
- getyourhostingnow.com
- heliconiaparadise.site
- helpagencia.online
- hyriver.com
- iserghini.com
- iwantcreativity.com
- jinchuansh.com
- mistergreekmeat.com
- newssmart.xyz
- nxmdta.quest
- one-poker.com
- playersclub.site
- rekapllc.store
- rennentedieeinzige.uk
- russellbanx.com
- ry-cw.com
- singhdeepak.space
- slanguage.online
- smartprotectproducts.store
- sparkmediaagency.xyz
- techwithnova.com
- tenaciouslee.com
- thebestconsultants.com
- theclientserver.xyz
- thecreakykettle.net
- toniotheharrison.net
- topdeckholidays.com
- trophies3d.co.uk
- uaepilator.store
- universerealtor.website
- valeloaiza.com
- viproom108.com
- waraporn.net
- wevlong.xyz
- xishangtao.com
- yennft.com
- yysshh.top
URLs
- http://lutanedukasi.co.id/wp-includes/Cikncbxlojqanjsfotzhopechujkgkeeyz.exe
- http://lutanedukasi.co.id/wp-includes/lsbjqoyofgkmqbuleooykdekgopmtglvjl.exe
- https://cdn.discordapp.com/attachments/937614907917078588/1009001073970794576/Lsbjqoyofgkmqbuleooykdekgopmtglr
SHA256
- c7b7cc6b73b04e2cd7d026a69d47139770ace5a92457da0f0c058ee438251b18
- d1ea94c241e00e8e59a7212f30a9117393f9e883d2b509e566505bc337c473e3