Несмотря на то, что Microsoft внедрила серьезные меры безопасности для предотвращения злоупотребления макросами в документах Office, включая автоматическую блокировку файлов, загруженных из интернета через механизм "Mark of the Web", эта технология остается эффективным инструментом в руках злоумышленников. Хотя макросы уже не используются так активно, как раньше, они продолжают представлять серьезную угрозу. Это связано с повсеместным распространением Microsoft Office, особенно в устаревших и необновленных версиях, а также с человеческим фактором, который остается самым слабым звеном в системе защиты.
Описание
Недавно CERT-AGID обнаружил и проанализировал тщательно спланированную кампанию по распространению вредоносного ПО Formbook через целенаправленные фишинговые письма. Жертвами, вероятно, стали потенциальные клиенты крупной итальянской компании, работающей в энергетическом секторе. В письмах использовался PDF-документ с официальным логотипом компании, содержащий ссылки на якобы защищенные паролем файлы проекта, размещенные на файлообменных платформах.
При загрузке и распаковке ZIP-архива, защищенного паролем (как указано в PDF), пользователь получал набор документов Microsoft Office. Некоторые из них были безобидными, однако другие - в форматах DOC и XLSB - содержали вредоносные макросы. Анализ кода показал четко выстроенную цепочку действий, которая шаг за шагом приводила к загрузке и установке Formbook. Зловредные компоненты скачивались с недавно зарегистрированных доменов, названия которых были похожи на домены компании-жертвы, а также с компрометированных итальянских доменов, предположительно принадлежащих другим фирмам из той же отрасли.
Кампания технически проста, но очень убедительна: она имитирует реальные бизнес-процессы, такие как участие в тендерах, работу с конфиденциальными проектами или приглашения к коммерческим инициативам. Именно эта реалистичность снижает бдительность пользователей, увеличивая шансы на открытие документов и выполнение вредоносного кода. В подобных атаках решающую роль играет не техническая сложность, а умение злоумышленников вписаться в ожидания и рабочий контекст жертвы.
Formbook - это многофункциональный шпионский инструмент, способный красть учетные данные, делать скриншоты, записывать нажатия клавиш и даже загружать дополнительные вредоносные модули. Его распространение через фишинг под видом деловой переписки делает его особенно опасным для организаций, так как сотрудники, ожидающие контрактов или проектных документов, могут не сразу заподозрить подвох.
Индикаторы компрометации
Domains
- aramco-files.cloud
- astaoffices.com
- consorzio-tfc.it
- lctechengineering.com
- petrofac-files.cloud
- petrofac-files.com
- saipem-files.cloud
- saipem-project.cloud
- saipem-projects.bid
- saipem-projects.cloud
- sbsbiz.com.my
- technoproject.it
- www.adeptplus4.net
- www.bonkcoins.xyz
- www.consorzio-tfc.it
- www.mdtech.com.bo
- www.quickcashswap.xyz
- www.sbsbiz.com.my
- www.technoproject.it
- www.techprojectitr.box
- www.tmdgtfeoch.com
URLs
- http://aramco-files.cloud/kr/koa.vbs
- http://astaoffices.com/am/amteruth.vbs
- http://astaoffices.com/eu/eu.gut
- http://astaoffices.com/ms/md.vbs
- http://astaoffices.com/mx/mx.vbs
- http://lctechengineering.com/lx/hypostasy.rod
- http://lctechengineering.com/ms/md.amg
- http://lctechengineering.com/py/cv.suziki
- http://petrofac-files.cloud/italy/it.vbs
- http://petrofac-files.com/207/MR-List-9062-000-MS-PRQ-020K307.vbs
- http://petrofac-files.com/ap/Christoffel.asd
- http://petrofac-files.com/ap/Erklringsdelenes.pcz
- http://petrofac-files.com/Downloads/MR%20LisT%20RFQ%2053922108612%20for%20GSP7%20Project.pdf.vbs
- http://petrofac-files.com/hol/kito.vbs
- http://petrofac-files.com/pet/msword.vbs
- http://petrofac-files.com/ut/MR-List-27162195122.pdf
- http://saipem-files.cloud/sai/saip.vbs
- http://saipem-project.cloud/Downloads/MR-List%20PR27162012400%20For%20North%20Field%20Project.pdf.vbs
- http://saipem-project.cloud/ms/ms.vbs
- http://saipem-project.cloud/msdec/list.pdf
- http://saipem-projects.bid/Downloads/MR%20List%20RFQ%20271621051020%20Documents%20for%20North%20Field%20Project.Pdf.vbs
- http://saipem-projects.bid/em/em.vbs
- http://saipem-projects.bid/emdec/MRList-2339805122.pdf
- http://saipem-projects.cloud/italy/it.vbs
- http://www.adeptplus4.net/4nzy/
- http://www.bonkcoins.xyz/ekhg/
- http://www.consorzio-tfc.it/petro/Birimose.rar
- http://www.consorzio-tfc.it/petro/Sternest.inf
- http://www.mdtech.com.bo/backup/Apraxia.pcx
- http://www.quickcashswap.xyz/57s6/
- http://www.sbsbiz.com.my/img/Frgningens.qxd
- http://www.sbsbiz.com.my/img/Sammensvejsendes.fla
- http://www.tmdgtfeoch.com/backup/hacsyraxiga.pcex
- http://www.zougla.gr/aod5/
- https://www.consorzio-tfc.it/petro/Christoffel.asd
- https://www.consorzio-tfc.it/petro/Cockles.mdp
- https://www.consorzio-tfc.it/petro/Erklringsdelenes.pcz
- https://www.consorzio-tfc.it/project/Arvens.thn
- https://www.consorzio-tfc.it/project/Timelnnedes.u32
- https://www.consorzio-tfc.it/project/Udvalgsbehandlingens.deploy
- https://www.consorzio-tfc.it/saip/Astmatikers.psd
- https://www.technoproject.it/doc/Apraxia.pcx
- https://www.technoproject.it/doc/Fllesnavnenes.prm
- https://www.technoproject.it/doc/Frgningens.qxd
- https://www.technoproject.it/doc/Sammensvejsendes.fla
- https://www.technoproject.it/docs/teejoint.bin
- https://www.techprojectitr.box/sappurfaxia.pacx
MD5
- c056ef040ed595c88e886d59e8a0e61c
- 18121770bb3181c6e529d5edd19414b7
- c6e19f31fb92c1f090db4c5753939f16
SHA1
- 08c76fa376f0cfcfad442b434653b09978f207cc
- 167ee725bf3d063fbdc05e4b0fa84360003c7427
- d5dfa570b852561efe137a0806bc5bdec453e6d7
SHA256
- 30e8db279ea13ae22d612f9902cdfeae5cea48392400266fa8500297c7656b90
- 47476f8794856949179cc2fa4c63ef7e27d3de9b0deb2808927d7ca7a8f6b8aa
- e36ae97ebee84334360ee98e040c172cac19c220bc46dd0e23525a2fb82b4d9a
