Специалисты WatchGuard зафиксировали две волны фишинговых атак, направленных на организации в Греции, Испании, Словении, Боснии, а также в странах Латинской и Центральной Америки. Вредоносная программа FormBook, известная с 2016 года, используется злоумышленниками для кражи учётных данных, данных браузеров и создания снимков экрана на системах Windows. Она продаётся на подпольных форумах по модели "вредоносное ПО как услуга", что позволяет разным группам киберпреступников применять её в своих кампаниях.
Описание
Первый вектор атаки: подмена легитимных приложений
В первой кампании жертвы получали электронные письма с темой, связанной с заказами или платежами на местном языке. Вложение представляло собой архив RAR, содержащий четыре файла: три библиотеки DLL и один исполняемый файл EXE. Этим EXE оказался ImBox.exe - легитимный компонент проекта Sandboxie-plus, который злоумышленники использовали для подгрузки вредоносной DLL с помощью техники DLL side-loading (метод, при котором программа загружает опасную динамическую библиотеку вместо настоящей).
Вредоносная библиотека msvcp140.dll при запуске исполняемого файла создавала в папке TEMP новый файл и записывала в него исполняемый код FormBook. Важно отметить: размер подменённой DLL отличался от оригинальной, что может служить одним из признаков компрометации. Исследователи обнаружили в этой кампании также случаи использования поддельных версий других легитимных программ: старой версии десктопного клиента TikTok с DLL base.dll, компонента Adobe Acrobat Reader с DLL msi.dll и инструмента сжатия XZ Utils с DLL liblzma-5.dll. Злоумышленники каждый раз подбирали доверенный исполняемый файл и заменяли его настоящую библиотеку своей вредоносной.
Второй вектор атаки: обфусцированный JavaScript и многоступенчатый загрузчик
Во второй кампании внутри архива находился файл JavaScript с сильным запутыванием кода. При выполнении он создавал два файла - Ollo.png и Til.png - и запускал PowerShell с длинной строкой в кодировке Base64. Эта строка содержала встроенную подстроку, затрудняющую автоматическое декодирование. После расшифровки оказывалось, что PowerShell считывает Ollo.png, расшифровывает его с помощью AES, используя ключ и вектор инициализации, также закодированные в Base64. Результат расшифровки - ещё одна строка Base64, которая после декодирования даёт исполняемый файл Windows.
Полученный файл вызывался с аргументом, указывающим на Til.png, и параметром RegAsm. Генерируемый DLL был написан на .NET Framework и содержал пространство имён "HackForums.gigajew" и функцию Mandark - характерные признаки загрузчика, который ранее описывался в отчётах компании Intrisec. Тот загрузчик, названный PanthomVAI, уже использовался для доставки вредоносных программ Remcos, XWorm, AsyncRAT, DarkCloud и SmokeLoader. В данном случае он применялся для установки FormBook. Код загрузчика был дополнительно обфусцирован: имена функций и переменных изменены, что усложняет анализ.
Как работает сам FormBook
Обе кампании доставляли один и тот же исполняемый файл FormBook. Его таблица импорта (IDT) пуста, что свидетельствует о динамической подгрузке функций. Для обхода мониторинга вредоносная программа отображает в памяти собственную копию системной библиотеки ntdll.dll. Это происходит в три этапа: сначала сырые байты ntdll.dll считываются с диска, затем вручную размещаются в памяти с помощью NtAllocateVirtualMemory, после чего из этой копии динамически загружаются адреса функций. Так формируется системный вызов напрямую к ядру, минуя мониторинг на уровне пользователя. В результате антивирусные средства и системы обнаружения вторжений (IDS) не видят подозрительной активности при обращении к системным функциям.
FormBook также использует механизм inline hook для перехвата данных из браузеров. Ключевой признак подозрительной активности - ручное отображение DLL в памяти с правами PAGE_EXECUTE_READWRITE. Оригинальная ntdll.dll, загруженная Windows, располагается в нескольких областях с разными правами доступа, а копия злоумышленников - в одной непрерывной области с полными правами на чтение, запись и выполнение.
Последствия и выводы
Эти атаки демонстрируют высокую адаптивность угрозы FormBook. Злоумышленники используют разные цепочки доставки: одни полагаются на подмену DLL в доверенных приложениях, другие - на многоступенчатый JavaScript и PowerShell с шифрованием AES. В обоих случаях конечная цель одна - кража конфиденциальных данных.
Для организаций, работающих в атакованных регионах, это означает необходимость усилить контроль над вложениями в электронной почте, особенно архивами. Системы защиты должны обращать внимание на аномальную загрузку DLL, выполнение PowerShell из вложений и признаки ручного отображения системных библиотек в памяти. Корреляция таких событий на разных этапах атаки может помочь выявить заражение до того, как данные будут скомпрометированы. Учитывая, что FormBook продаётся как услуга и используется множеством групп, подобные фишинговые волны, скорее всего, продолжатся, а злоумышленники будут искать новые векторы обхода защиты.
Индикаторы компрометации
MD5
- 872116260461fe63dd8664dbfbc7efa0
- 8d79722188d998327dd7edf9924bffe2
- 9601283e3153779f5a7e845365fdd87d
- ab0d213d4df3de06bbd2db524fb73282
