Опасный троян FormBook атакует с новой силой: эксперты предупреждают о сложных методах маскировки и кражи данных

Stealer

Аналитики кибербезопасности бьют тревогу: в сети активизировался троян-стиллер FormBook, который использует продвинутые методы обхода защиты и кражи конфиденциальной информации. Новые атаки отличаются высокой изощренностью, включая применение техники "Небесных врат" (Heaven's Gate) и других сложных механизмов противодействия обнаружению.

Описание

Зловред распространяется через фишинговые письма, эксплуатируя известную уязвимость CVE-2017-11882. После проникновения в систему троян внедряется в процесс ImagingDevices.exe, используя метод "опустошения процесса" (process hollowing). Особую опасность представляет многослойное шифрование полезной нагрузки - ключевые функции расшифровываются динамически только во время выполнения, что значительно затрудняет анализ и обнаружение вредоносного кода.

FormBook применяет несколько инновационных методов для усложнения исследования. Среди них - загрузка дубликата системной библиотеки ntdll.dll, что позволяет запутывать вызовы API и скрывать активность от средств мониторинга. Кроме того, троян динамически расшифровывает имена модулей и функций Windows, использует более 100 зашифрованных функций, которые становятся доступны только перед выполнением, а также проверяет систему на наличие виртуальных машин, отладчиков и других инструментов анализа.

Одним из наиболее опасных аспектов новой версии FormBook стало применение техники "Небесных врат" - метода, позволяющего 32-битному процессу выполнять 64-битный код. Это используется для манипуляции случайно выбранными дочерними процессами explorer.exe, такими как notepad.exe. После выбора цели троян создает общую область памяти, копирует вредоносный код и изменяет поток выполнения, что делает его крайне сложным для обнаружения.

Основная активность FormBook происходит в процессе PATHPING.EXE, куда внедряется полезная нагрузка. Троян собирает огромный объем данных, включая учетные записи браузеров (Chrome, Firefox, Edge и других), информацию автозаполнения, cookies, настройки прокси, содержимое буфера обмена и данные почтовых клиентов (Outlook, Thunderbird).

Для связи с командными серверами злоумышленников FormBook использует отдельный процесс, например, еще один экземпляр notepad.exe, который обрабатывает 64 зашифрованных домена C2. Все перехваченные данные перед отправкой проходят двойное шифрование и кодирование в Base64, что делает перехват и анализ трафика практически невозможным без специальных инструментов.

Троян поддерживает девять команд управления, предоставляя злоумышленникам широкие возможности: загрузка и выполнение дополнительных вредоносных файлов, обновление или удаление FormBook с системы, очистка следов активности в браузерах, перезагрузка или выключение зараженного компьютера, а также сбор и передача новых порций данных.

Эксперты подчеркивают, что текущая версия FormBook представляет серьезную угрозу из-за сочетания сложных методов уклонения от обнаружения и мощных возможностей по краже информации. В связи с этим рекомендуется усилить защиту от фишинговых атак, своевременно обновлять программное обеспечение и использовать современные системы защиты конечных точек.

Киберпреступники продолжают совершенствовать свои инструменты, и FormBook - яркий пример того, насколько опасными могут быть современные вредоносные программы. Организациям и частным пользователям необходимо быть особенно бдительными и не пренебрегать базовыми мерами безопасности, чтобы не стать следующей жертвой атаки.

Индикаторы компрометации

URLs

  • http://www.031235246.xyz/ml07/
  • http://www.08081.pink/2wr9/
  • http://www.218735.bid/3f5o/
  • http://www.685648.wang/3k4m/
  • http://www.actionlow.live/0a0g/
  • http://www.adjokctp.icu/3ya5/
  • http://www.aicycling.pro/4m7q/
  • http://www.arryongro-nambe.live/h108/
  • http://www.arwintarim.xyz/shoy/
  • http://www.autonomousrich.xyz/iej0/
  • http://www.balivegasbaru2.xyz/cfze/
  • http://www.bellysweep.net/gr1r/
  • http://www.btbjpu.info/pjhe/
  • http://www.caral.tokyo/plub/
  • http://www.choujiezhibo.net/pu7t/
  • http://www.ciptaan.xyz/fjwa/
  • http://www.crazymeme.xyz/78bm/
  • http://www.dangky88kfree.online/11lg/
  • http://www.ddvids.xyz/uiki/
  • http://www.dilgxp.info/7qht/
  • http://www.dogeeditor.xyz/x5dz/
  • http://www.domuss.asia/yf4f/
  • http://www.dqvcbn.info/iby8/
  • http://www.ef4refef.sbs/f88b/
  • http://www.ethereumpartner.xyz/xou3/
  • http://www.extremedoge.xyz/372c/
  • http://www.fjlgyc.info/txra/
  • http://www.garfo.xyz/35rt/
  • http://www.gluconolmx.shop/8370/
  • http://www.gnlokn.info/lmor/
  • http://www.grcgrg.net/jxyu/
  • http://www.hugeblockchain.xyz/1dpy/
  • http://www.iighpb.bid/jfhd/
  • http://www.intention.digital/h6z3/
  • http://www.jyc11.top/xz2s/
  • http://www.kasun.wtf/u4ue/
  • http://www.kdjsswzx.club/h3ut/
  • http://www.kpilal.info/9o26/
  • http://www.laohuc58.net/zyjq/
  • http://www.leveledge.sbs/asbs/
  • http://www.lucynoel6465.shop/1i64/
  • http://www.manicure-nano.sbs/xkx8/
  • http://www.meritking.cloud/gakd/
  • http://www.nhc7tdkp6.live/d9kr/
  • http://www.nullus.xyz/pf7y/
  • http://www.prepaidbitcoin.xyz/rcx4/
  • http://www.promoconfortbaby.store/1pxl/
  • http://www.promutuus.xyz/bpae/
  • http://www.sbualdwhryi.info/dbdy/
  • http://www.sdwd.wang/sfv4/
  • http://www.seasay.xyz/xwy3/
  • http://www.segurooshop.shop/wcz8/
  • http://www.shibfestival.xyz/8538/
  • http://www.shlomi.app/5nwk/
  • http://www.sigaque.today/u2nq/
  • http://www.svapo-discount.net/s956/
  • http://www.szty13.vip/abhi/
  • http://www.themutznuts.xyz/ks15/
  • http://www.theweb.services/fb40/
  • http://www.tumbetgirislinki.fit/i8hk/
  • http://www.vivamente.shop/xr41/
  • http://www.xrrkkv.info/eg97/
  • http://www.yueolt.shop/je6k/
  • http://www.zhuanphysical.shop/zcro/
Комментарии: 0