Специалисты из лаборатории FortiGuard Labs компании Fortinet обнаружили фишинговую кампанию, в которой использовался вредоносный документ Word для распространения нового варианта вредоносной программы Formbook.
Описание
Formbook является программой для кражи информации, предназначенной для пользователей Windows. Она способна похищать конфиденциальные данные, такие как учетные данные, нажатия клавиш, скриншоты и данные буфера обмена. В ходе фишинговой кампании, получателю отправлялось письмо, имитирующее заказ на продажу, с вложенным документом Word. При открытии документа, использовалась уязвимость CVE-2017-11882 для загрузки и выполнения вредоносной программы Formbook.
Фишинговая кампания начиналась с отправки письма, заставляющего получателя открыть вложенный документ Word. Вложенный документ сохранен в формате OOXML и содержит ссылку на внешний RTF-файл. RTF-файл содержит обфусцированные данные и два встроенных бинарных объекта. Первый объект - 64-битный DLL-файл - извлекается и сохраняется в системную папку %temp%, а второй объект содержит данные уравнений для Microsoft Equation Editor 3.0. При анализе файла RTF в Microsoft Word, происходит эксплуатация уязвимости CVE-2017-11882, что приводит к выполнению вредоносной программы.
Однажды уязвимость возникает, вредоносная программа начинает выполнение. Вредоносная программа загружает полезную нагрузку Formbook, которая замаскирована под файл изображения (PNG). Затем используются функции Windows API для загрузки полезной нагрузки и дальнейшего выполнения в целевом процессе. В целом, эта фишинговая кампания демонстрирует использование различных технических методов в целях распространения и выполнения вредоносной программы Formbook.
Это обнаружение принесло новые данные о методах, которые используют киберпреступники для распространения вредоносной программы Formbook. Такая информация поможет в создании более эффективных защитных мер для предотвращения таких атак.
Индикаторы компрометации
URLs
- https://www2.0zz0.com/2025/02/02/10/709869215.png
SHA256
- 2e73b32d2180fd06f5142f68e741da1cff1c5e96387cebd489ad78de18840a56
- 6ac778712dffce48b51850ac34a846da357be07328b00d0b629ec9b2f1c37ece
- 7c66e3156bbe88ec56294cd2ca15416dd2b18432deedc024116ea8fbb226d23b
- 93cf566c0997d5dcd1129384420e4ce59764bd86fdabaaa8b74caf5318ba9184
