Главная страница » Индикаторы компрометации
0
19 дней
Индикаторы компрометации

FormBook распространяется через фишинговую кампанию

Stealer

Специалисты из лаборатории FortiGuard Labs компании Fortinet обнаружили фишинговую кампанию, в которой использовался вредоносный документ Word для распространения нового варианта вредоносной программы Formbook.

Описание

Formbook является программой для кражи информации, предназначенной для пользователей Windows. Она способна похищать конфиденциальные данные, такие как учетные данные, нажатия клавиш, скриншоты и данные буфера обмена. В ходе фишинговой кампании, получателю отправлялось письмо, имитирующее заказ на продажу, с вложенным документом Word. При открытии документа, использовалась уязвимость CVE-2017-11882 для загрузки и выполнения вредоносной программы Formbook.

Фишинговая кампания начиналась с отправки письма, заставляющего получателя открыть вложенный документ Word. Вложенный документ сохранен в формате OOXML и содержит ссылку на внешний RTF-файл. RTF-файл содержит обфусцированные данные и два встроенных бинарных объекта. Первый объект - 64-битный DLL-файл - извлекается и сохраняется в системную папку %temp%, а второй объект содержит данные уравнений для Microsoft Equation Editor 3.0. При анализе файла RTF в Microsoft Word, происходит эксплуатация уязвимости CVE-2017-11882, что приводит к выполнению вредоносной программы.

Однажды уязвимость возникает, вредоносная программа начинает выполнение. Вредоносная программа загружает полезную нагрузку Formbook, которая замаскирована под файл изображения (PNG). Затем используются функции Windows API для загрузки полезной нагрузки и дальнейшего выполнения в целевом процессе. В целом, эта фишинговая кампания демонстрирует использование различных технических методов в целях распространения и выполнения вредоносной программы Formbook.

Это обнаружение принесло новые данные о методах, которые используют киберпреступники для распространения вредоносной программы Formbook. Такая информация поможет в создании более эффективных защитных мер для предотвращения таких атак.

Индикаторы компрометации

URLs

  • https://www2.0zz0.com/2025/02/02/10/709869215.png

SHA256

  • 2e73b32d2180fd06f5142f68e741da1cff1c5e96387cebd489ad78de18840a56
  • 6ac778712dffce48b51850ac34a846da357be07328b00d0b629ec9b2f1c37ece
  • 7c66e3156bbe88ec56294cd2ca15416dd2b18432deedc024116ea8fbb226d23b
  • 93cf566c0997d5dcd1129384420e4ce59764bd86fdabaaa8b74caf5318ba9184
Комментарии: 0
Похожие записи
0
1 час
Индикаторы компрометации

Новый похититель Noodlophile распространяется через поддельные платформы для создания видео с искусственным интеллектом

Stealer
Искусственный интеллект (ИИ) стал популярным инструментом для создания контента, но киберпреступники начали использовать поддельные платформы, обещающие передовой контент за пользовательские загрузки.
0
2 дня
Индикаторы компрометации

Разоблачение сети FreeDrain: Разоблачение сети кражи криптовалют промышленного масштаба

phishing
Совместное исследование Validin и SentinelLABS выявило масштабную операцию FreeDrain Network, занимающуюся криптовалютным фишингом и выкачиванием цифровых активов.
0
2 дня
Индикаторы компрометации

Lumma Stealer: Известная компания, занимающаяся кражей информации, меняет свои TTP, но сохраняет тактику CAPTCHA.

Stealer
В сентябре 2024 года Sophos Managed Detection and Response выявили кампанию Lumma Stealer, которая использует подделку CAPTCHA-сайтов для распространения вредоносных PowerShell команд.