В последние дни эксперты CERT-AGID выявили и проанализировали целенаправленную кампанию по распространению вредоносной программы FormBook через электронные письма, предположительно направленные сотрудникам строительной отрасли. Сообщения, качественно оформленные и детально проработанные, имитируют коммуникацию от имени офиса Миланского политехнического университета и приглашают получателей подать заявку на участие в якобы существующем проекте с сжатыми сроками.
Описание
Вводящее в заблуждение письмо побуждает адресата ознакомиться с прилагаемой документацией, предлагая открыть прикрепленный ZIP-архив. Однако вместо ожидаемых документов архив содержит вредоносный JS-скрипт. Частично замаскированный код JavaScript запускает скрипт PowerShell, который загружает и выполняет дополнительные компоненты. На завершающем этапе эти компоненты устанавливают троянскую программу FormBook, широко известную своей способностью красть учетные данные и конфиденциальную информацию.
Кампания, хотя и технически проста, оказывается правдоподобной и хорошо организованной: она использует распространенные бизнес-процессы, такие как приглашения к участию в проектах или коммерческие предложения, чтобы легче преодолеть недоверие получателей. Сходство с реальными ситуациями повышает вероятность того, что документы будут открыты, а вредоносное содержимое - активировано. В таких случаях техническая сложность играет незначительную роль, а гораздо важнее способность атаки соответствовать ожиданиям получателя.
FormBook, часто классифицируемый как инфостилер, длительное время используется киберпреступниками для сбора чувствительной информации, включая логины, пароли, данные банковских карт и другую конфиденциальную информацию. Его распространение через фишинговые рассылки, маскирующиеся под официальные обращения учебных заведений или компаний, остается одной из популярных тактик злоумышленников.
Эксперты по безопасности напоминают о важности проверки подозрительных писем, особенно тех, что содержат сжатые сроки выполнения действий или запрос на открытие вложений. Рекомендуется обращать внимание на адреса отправителей, орфографические ошибки и несоответствия в доменных именах. Для организаций ключевыми мерами защиты остаются обучение сотрудников, использование фильтров электронной почты и регулярное обновление систем безопасности.
Данный инцидент вновь демонстрирует, что социальная инженерия продолжает оставаться эффективным инструментом в арсенале киберпреступников, а тщательная подготовка атаки способна компенсировать недостаток технической сложности.
Индикаторы компрометации
Domains
- 7130ce.vip
- gooder.bar
- www.7130ce.vip
- www.gooder.bar
URLs
- http://www.7130ce.vip/0xkq
- http://www.gooder.bar/ocmj/
- https://drive.google.com/uc?export=download&id=1aSe3ubep62B4re5J5C9DfN4waT-gYIR5
- https://drive.google.com/uc?export=download&id=1y-UcTJccDfFz5O1fUqg1gP8mdwUKVbla
- https://drive.google.com/uc?export=download&id=1aSe3ubep62B4re5J5C9DfN4waT-gYIR5
- https://drive.google.com/uc?export=download&id=1y-UcTJccDfFz5O1fUqg1gP8mdwUKVbla
- https://drive.usercontent.google.com/download?id=1aSe3ubep62B4re5J5C9DfN4waT-gYIR5
- https://drive.usercontent.google.com/download?id=1y-UcTJccDfFz5O1fUqg1gP8mdwUKVbla
MD5
- 2219eb41907814a7c60764d185a21817
- 35854bdb78878ef0d2728f3032e84035
- aaa8ba906651ff4d23a7e51f5c3d9987
SHA1
- 1430ae544bcb74ec1acc8a416ec6027bcf8a47b4
- 5d93d244b84b6dfe26e54637a9eceff4599bb0b9
- bc343bc06f08612003c8de517e9757e33103420c
SHA256
- 7197124e85ce10b4ee53c29cff08af095784f60beb5becdbb99b246aed22627d
- 8d435ce4f3f6c86e4410a83923ebd6d49685f44dd70b95b58862195cc6f59bbc
- 924b0dceaff615222d342df227e1ae71358c5105c71f95af59f546e33b98d70c
