Аналитики кибербезопасности бьют тревогу: в сети активизировался троян-стиллер FormBook, который использует продвинутые методы обхода защиты и кражи конфиденциальной информации. Новые атаки отличаются высокой изощренностью, включая применение техники "Небесных врат" (Heaven's Gate) и других сложных механизмов противодействия обнаружению.
Описание
Зловред распространяется через фишинговые письма, эксплуатируя известную уязвимость CVE-2017-11882. После проникновения в систему троян внедряется в процесс ImagingDevices.exe, используя метод "опустошения процесса" (process hollowing). Особую опасность представляет многослойное шифрование полезной нагрузки - ключевые функции расшифровываются динамически только во время выполнения, что значительно затрудняет анализ и обнаружение вредоносного кода.
FormBook применяет несколько инновационных методов для усложнения исследования. Среди них - загрузка дубликата системной библиотеки ntdll.dll, что позволяет запутывать вызовы API и скрывать активность от средств мониторинга. Кроме того, троян динамически расшифровывает имена модулей и функций Windows, использует более 100 зашифрованных функций, которые становятся доступны только перед выполнением, а также проверяет систему на наличие виртуальных машин, отладчиков и других инструментов анализа.
Одним из наиболее опасных аспектов новой версии FormBook стало применение техники "Небесных врат" - метода, позволяющего 32-битному процессу выполнять 64-битный код. Это используется для манипуляции случайно выбранными дочерними процессами explorer.exe, такими как notepad.exe. После выбора цели троян создает общую область памяти, копирует вредоносный код и изменяет поток выполнения, что делает его крайне сложным для обнаружения.
Основная активность FormBook происходит в процессе PATHPING.EXE, куда внедряется полезная нагрузка. Троян собирает огромный объем данных, включая учетные записи браузеров (Chrome, Firefox, Edge и других), информацию автозаполнения, cookies, настройки прокси, содержимое буфера обмена и данные почтовых клиентов (Outlook, Thunderbird).
Для связи с командными серверами злоумышленников FormBook использует отдельный процесс, например, еще один экземпляр notepad.exe, который обрабатывает 64 зашифрованных домена C2. Все перехваченные данные перед отправкой проходят двойное шифрование и кодирование в Base64, что делает перехват и анализ трафика практически невозможным без специальных инструментов.
Троян поддерживает девять команд управления, предоставляя злоумышленникам широкие возможности: загрузка и выполнение дополнительных вредоносных файлов, обновление или удаление FormBook с системы, очистка следов активности в браузерах, перезагрузка или выключение зараженного компьютера, а также сбор и передача новых порций данных.
Эксперты подчеркивают, что текущая версия FormBook представляет серьезную угрозу из-за сочетания сложных методов уклонения от обнаружения и мощных возможностей по краже информации. В связи с этим рекомендуется усилить защиту от фишинговых атак, своевременно обновлять программное обеспечение и использовать современные системы защиты конечных точек.
Киберпреступники продолжают совершенствовать свои инструменты, и FormBook - яркий пример того, насколько опасными могут быть современные вредоносные программы. Организациям и частным пользователям необходимо быть особенно бдительными и не пренебрегать базовыми мерами безопасности, чтобы не стать следующей жертвой атаки.
Индикаторы компрометации
URLs
- http://www.031235246.xyz/ml07/
- http://www.08081.pink/2wr9/
- http://www.218735.bid/3f5o/
- http://www.685648.wang/3k4m/
- http://www.actionlow.live/0a0g/
- http://www.adjokctp.icu/3ya5/
- http://www.aicycling.pro/4m7q/
- http://www.arryongro-nambe.live/h108/
- http://www.arwintarim.xyz/shoy/
- http://www.autonomousrich.xyz/iej0/
- http://www.balivegasbaru2.xyz/cfze/
- http://www.bellysweep.net/gr1r/
- http://www.btbjpu.info/pjhe/
- http://www.caral.tokyo/plub/
- http://www.choujiezhibo.net/pu7t/
- http://www.ciptaan.xyz/fjwa/
- http://www.crazymeme.xyz/78bm/
- http://www.dangky88kfree.online/11lg/
- http://www.ddvids.xyz/uiki/
- http://www.dilgxp.info/7qht/
- http://www.dogeeditor.xyz/x5dz/
- http://www.domuss.asia/yf4f/
- http://www.dqvcbn.info/iby8/
- http://www.ef4refef.sbs/f88b/
- http://www.ethereumpartner.xyz/xou3/
- http://www.extremedoge.xyz/372c/
- http://www.fjlgyc.info/txra/
- http://www.garfo.xyz/35rt/
- http://www.gluconolmx.shop/8370/
- http://www.gnlokn.info/lmor/
- http://www.grcgrg.net/jxyu/
- http://www.hugeblockchain.xyz/1dpy/
- http://www.iighpb.bid/jfhd/
- http://www.intention.digital/h6z3/
- http://www.jyc11.top/xz2s/
- http://www.kasun.wtf/u4ue/
- http://www.kdjsswzx.club/h3ut/
- http://www.kpilal.info/9o26/
- http://www.laohuc58.net/zyjq/
- http://www.leveledge.sbs/asbs/
- http://www.lucynoel6465.shop/1i64/
- http://www.manicure-nano.sbs/xkx8/
- http://www.meritking.cloud/gakd/
- http://www.nhc7tdkp6.live/d9kr/
- http://www.nullus.xyz/pf7y/
- http://www.prepaidbitcoin.xyz/rcx4/
- http://www.promoconfortbaby.store/1pxl/
- http://www.promutuus.xyz/bpae/
- http://www.sbualdwhryi.info/dbdy/
- http://www.sdwd.wang/sfv4/
- http://www.seasay.xyz/xwy3/
- http://www.segurooshop.shop/wcz8/
- http://www.shibfestival.xyz/8538/
- http://www.shlomi.app/5nwk/
- http://www.sigaque.today/u2nq/
- http://www.svapo-discount.net/s956/
- http://www.szty13.vip/abhi/
- http://www.themutznuts.xyz/ks15/
- http://www.theweb.services/fb40/
- http://www.tumbetgirislinki.fit/i8hk/
- http://www.vivamente.shop/xr41/
- http://www.xrrkkv.info/eg97/
- http://www.yueolt.shop/je6k/
- http://www.zhuanphysical.shop/zcro/