Проводится кампания по рассылке вредоносного спама на итальянском языке с целью заражения компьютеров программой Formbook, которая способна похищать информацию.
Formbook Stealer
Жертвам отправляется срочное сообщение о неоплаченных счетах с просьбой открыть прикрепленный архив в формате 7Z, внутри которого находится VBS-файл. Проанализировав этот файл, можно увидеть, что он хорошо структурирован и содержит код для декодирования содержимого переменной ObfuscatedData. Затем полученный код декодируется с помощью алгоритма Base64, чтобы извлечь EXE-файл. Исполняемый файл, написанный на .NET, расшифровывает зашифрованную строку Base64 и создает файл, предназначенный для выполнения на зараженной машине. Этот файл является программой Formbook.
Indicators of Compromise
Domains
- kevin-torkelson.info
- myjiorooms.services
- vasehub.xyz
- www.kevin-torkelson.info
URLs
- http://www.myjiorooms.services/fksk/
- http://www.vasehub.xyz/uzgu/
MD5
- 41c44860868d544f46d6b29b67d5d06d
- 479fe21d1995faa9e2f152dfae09e949
- e330cf48aadeecca36cb4374f69feb9b
- e4cd22aa149644d6606290ebf0375d67
SHA1
- 4a7e4cc4a62405aa08f76d5748b72e0b4b3f8bd6
- 9095d0a0957ab64b87538c18b0f526d402cd4fe2
- dddd6e905fc5d63c79f4c58b47f1333ada7939e5
- f5b2ff35cee24c6fe083ce95409bebe92de97f9d
SHA256
- 4a9154e1accebc00701886ac29a82e973abbbf4141ec9b4af5f505d1b4da0e36
- 730727af6c83f7c10c6cfc7e4ea4ece4466c0af49d7aa1c1652c2f7e38cd62eb
- 9214e8d2700ca8ed945462a8850a0fcab57afbf4e9d0b2782b19e502c2e29c19
- d4881f5a43831fed7e0d6046e8f513712a88027ed58914d70c25817e46aa9185
