Аналитики кибербезопасности обнаружили новую волну атак с использованием трояна-стиллера FormBook, который применяет сложные методы противодействия анализу и крадет конфиденциальные данные. Вредоносная программа демонстрирует высокий уровень изощренности, используя технику "Небесных врат" (Heaven's Gate) и другие продвинутые методы обхода защиты.
Описание
FormBook проникает в системы через фишинговые письма, эксплуатируя уязвимость CVE-2017-11882. После заражения троян внедряется в процесс ImagingDevices.exe, используя технику "опустошения процесса" (process hollowing). Особенностью этой версии FormBook является многослойное шифрование полезной нагрузки и динамическая расшифровка ключевых функций только во время выполнения, что значительно усложняет анализ.
Для противодействия исследователям FormBook применяет несколько инновационных техник:
- Загружает дубликат библиотеки ntdll.dll для запутывания вызовов API
- Динамически расшифровывает имена модулей и функций Windows
- Использует более 100 зашифрованных функций, которые расшифровываются только перед выполнением
- Проверяет систему на наличие виртуальных машин и инструментов анализа
- Обнаруживает отладчики как в пользовательском, так и в ядерном режиме
Особого внимания заслуживает использование техники "Небесных врат", позволяющей 32-битному процессу выполнять 64-битный код. FormBook применяет этот метод для манипуляции случайно выбранными процессами-потомками explorer.exe, такими как notepad.exe. После выбора процесса троян создает общую область памяти, копирует вредоносный код и изменяет поток выполнения.
Основная вредоносная активность происходит в процессе PATHPING.EXE, куда внедряется полезная нагрузка FormBook. Троян собирает обширную информацию о системе, включая:
- Учетные данные браузеров (Chrome, Firefox, Edge и других)
- Данные автозаполнения и cookies
- Настройки прокси
- Информацию из буфера обмена
- Данные почтовых клиентов (Outlook, Thunderbird)
Для коммуникации с командным сервером FormBook использует отдельный процесс (например, другой экземпляр notepad.exe), который обрабатывает 64 зашифрованных домена C2. Все данные перед отправкой проходят двойное шифрование и кодирование в Base64.
Троян поддерживает девять команд управления, позволяющих злоумышленникам:
- Загружать и выполнять дополнительные вредоносные файлы
- Обновлять или удалять FormBook с системы
- Очищать следы активности в браузерах
- Перезагружать или выключать зараженный компьютер
- Собирать и передавать новые порции данных
Эксперты отмечают, что текущая версия FormBook представляет серьезную угрозу благодаря сочетанию сложных техник уклонения от обнаружения и широким возможностям сбора информации. Рекомендуется усилить защиту от фишинговых атак, регулярно обновлять программное обеспечение и использовать современные решения для защиты конечных точек
Индикаторы компрометации
URLs
- http://www.031235246.xyz/ml07/
- http://www.08081.pink/2wr9/
- http://www.218735.bid/3f5o/
- http://www.685648.wang/3k4m/
- http://www.actionlow.live/0a0g/
- http://www.adjokctp.icu/3ya5/
- http://www.aicycling.pro/4m7q/
- http://www.arryongro-nambe.live/h108/
- http://www.arwintarim.xyz/shoy/
- http://www.autonomousrich.xyz/iej0/
- http://www.balivegasbaru2.xyz/cfze/
- http://www.bellysweep.net/gr1r/
- http://www.btbjpu.info/pjhe/
- http://www.caral.tokyo/plub/
- http://www.choujiezhibo.net/pu7t/
- http://www.ciptaan.xyz/fjwa/
- http://www.crazymeme.xyz/78bm/
- http://www.dangky88kfree.online/11lg/
- http://www.ddvids.xyz/uiki/
- http://www.dilgxp.info/7qht/
- http://www.dogeeditor.xyz/x5dz/
- http://www.domuss.asia/yf4f/
- http://www.dqvcbn.info/iby8/
- http://www.ef4refef.sbs/f88b/
- http://www.ethereumpartner.xyz/xou3/
- http://www.extremedoge.xyz/372c/
- http://www.fjlgyc.info/txra/
- http://www.garfo.xyz/35rt/
- http://www.gluconolmx.shop/8370/
- http://www.gnlokn.info/lmor/
- http://www.grcgrg.net/jxyu/
- http://www.hugeblockchain.xyz/1dpy/
- http://www.iighpb.bid/jfhd/
- http://www.intention.digital/h6z3/
- http://www.jyc11.top/xz2s/
- http://www.kasun.wtf/u4ue/
- http://www.kdjsswzx.club/h3ut/
- http://www.kpilal.info/9o26/
- http://www.laohuc58.net/zyjq/
- http://www.leveledge.sbs/asbs/
- http://www.lucynoel6465.shop/1i64/
- http://www.manicure-nano.sbs/xkx8/
- http://www.meritking.cloud/gakd/
- http://www.nhc7tdkp6.live/d9kr/
- http://www.nullus.xyz/pf7y/
- http://www.prepaidbitcoin.xyz/rcx4/
- http://www.promoconfortbaby.store/1pxl/
- http://www.promutuus.xyz/bpae/
- http://www.sbualdwhryi.info/dbdy/
- http://www.sdwd.wang/sfv4/
- http://www.seasay.xyz/xwy3/
- http://www.segurooshop.shop/wcz8/
- http://www.shibfestival.xyz/8538/
- http://www.shlomi.app/5nwk/
- http://www.sigaque.today/u2nq/
- http://www.svapo-discount.net/s956/
- http://www.szty13.vip/abhi/
- http://www.themutznuts.xyz/ks15/
- http://www.theweb.services/fb40/
- http://www.tumbetgirislinki.fit/i8hk/
- http://www.vivamente.shop/xr41/
- http://www.xrrkkv.info/eg97/
- http://www.yueolt.shop/je6k/
- http://www.zhuanphysical.shop/zcro/
