FormBook - это программа для кражи данных, распространяемая как MaaS. FormBook отличается от множества конкурирующих вредоносных программ чрезвычайной простотой использования, что позволяет использовать вирус FormBook даже неопытным участникам угроз.
Что такое вредоносная программа FormBook?
FormBook stealer - это троян для похищения информации, доступный как вредоносное ПО как услуга. Это вредоносное ПО часто используется злоумышленниками с низкой технической грамотностью и небольшими знаниями в области программирования. FormBook может использоваться для кражи различной информации с зараженных машин.
Несмотря на простоту настройки и использования, вредоносная программа обладает расширенными функциями кражи и обхода, включая способность извлекать сохраненный и записанный пользовательский ввод. Кроме того, FormBook stealer способен искать, просматривать и взаимодействовать с файлами, а также делать скриншоты. Несмотря на то, что воровские возможности этого вируса можно считать несколько средними, простота управления, схема инъекций и набор эффективных мер, которые принимает вредоносная программа, чтобы избежать обнаружения антивирусным ПО, сделали FormBook популярным вирусом в хакерском сообществе, и, к сожалению, в 2019 году его популярность только продолжает расти.
Общее описание FormBook
Написанный на языках C и x86 ассемблер, FormBook продается как панель управления PHP и может быть куплен на легкодоступных онлайн-форумах всего за 30 долларов.
Уникально то, что в отличие от большинства существующих вирусов, использующих последние уязвимости или "нулевые дни", FormBook может внедряться в процессы и устанавливать функциональные крючки, используя уже известные проблемы. Поэтому создатели утверждают, что вирус будет работать безупречно независимо от версии Windows.
Наряду с функцией кражи и техникой уклонения, вирус умеет выполнять инструкции с сервера управления, которые включают запуск новых процессов, их внедрение и перезагрузку ПК жертвы. Более того, вирус способен записывать в память модуль Windows ntdll.dll и вызывать его напрямую, что делает мониторинг API и перехват пользовательского режима практически недостаточным.
Распространение FormBook
Согласно анализу FormBook, вредоносное ПО обычно распространяется через кампании электронной почты, в которых используется широкий спектр механизмов заражения, и может содержать множество различных файловых вложений. Среди наиболее часто встречающихся вложений - PDF, DOC или EXE, а также файлы ZIP, RAR, ACE и ISO.
Известно, что кампании, в которых вирус распространяется через файлы с расширением PDF, используют темы, связанные с доставкой, и обычно включают ссылку на загрузку, которая указывает на вредоносный код, а не на сам вирус. В DOC- и EXE-файлах для установки и запуска вируса используются макросы. Часто в таких случаях вирус извлекается в виде файла .PDF. Наконец, архивные кампании считаются наиболее распространенным вектором атаки для этого вируса и обычно вращаются вокруг темы, связанной с бизнесом, например, платежного поручения. В случае этого вектора атаки вложения либо содержат ссылку на EXE-файл FormBook stealer, либо устанавливают и запускают вирус на ПК жертв напрямую.
В 2020 году Formbook стал довольно популярным, поскольку использовал для приманок электронные письма на тему Covid с заголовками тем, такими как "Government Response to Coronavirus Covid-19".
Процесс выполнения FormBook
После загрузки вредоносного файла единственное, что необходимо для начала заражения, - это открыть файл. В случае, когда в качестве источника заражения используется файл Microsoft Office (doc, xls, rtf), после его открытия вредоносная программа использует уязвимость CVE-2017-11882, в результате чего Microsoft Office Equation Editor загружает вредоносный исполняемый файл и запускает его.
После заражения ПК жертвы вирус копирует и переименовывает себя в каталог, который различается в зависимости от привилегий пользователя. Если используется учетная запись администратора, вирус устанавливает себя в %ProgramFiles% или %CommonProgramFiles%. С другой стороны, если привилегии не повышены, то вирус копирует себя в %TEMP% или %APPDATA.
Кроме того, троян Formbook изменяет значение автозапуска в реестре в зависимости от того, был ли он запущен с обычными или повышенными привилегиями. Далее вредоносная программа копирует себя в каталог, после чего проверяет, запущена ли она на виртуальной машине или анализируется, оценивая лучший вариант защиты от вторжения, который может быть использован в конкретной ситуации. Тем временем вирус попытается оценить переменную окружения USERNAME, чтобы выяснить, запущен ли он в симуляции, а также проверить наличие отладчиков. Следует отметить, что при проведении анализа вредоносная программа использует особо хитрые приемы, например, все общие строки, такие как имена командных серверов, расшифровываются только в случае крайней необходимости, что делает FormBook весьма неуловимым. На следующем этапе вирус использует тот же метод инъекции в активный процесс explorer.exe, который используется только как непостоянный плацдарм.
Вирус периодически выполняет инъекции в процессы веб-браузера и explorer.exe. После инъекции в процесс вирус выбирает случайное приложение из статического списка. Затем вирус запускает выбранное приложение в приостановленном режиме и копирует себя в адресное пространство приостановленного процесса, имитируя тем самым настоящий процесс Microsoft. Затем вирус завершает исходный процесс, в результате чего в файле explorer.exe остается мертвый код FormBook. С этого этапа новые процессы FormBook могут внедрять целевые приложения, например, процессы веб-браузера, которым в случае с данной имитацией ANY.RUN является Firefox.
В зависимости от целевого процесса, вирус может устанавливать различные функциональные крючки. Будучи запущенным из контекста уже созданного процесса, вирус начинает просматривать все активные в данный момент процессы, пытаясь определить целевые программы. Как только цель найдена, FormBook внедряется в нее и устанавливает определенный набор API-крючков, основанных на целевой программе. Затем данные сохраняются в файлах в директории %APPDATA% до отправки на C&C-сервер. Обратите внимание на эту функцию для обнаружения вредоносного ПО.
Как избежать заражения FormBook?
Лучший метод противодействия - проявлять осторожность при получении писем с вложениями от неизвестных отправителей. Злоумышленники обычно используют социальную инженерию, чтобы обманом заставить жертву скачать и открыть зараженные файлы.
Удаление всех подозрительных писем из папки "Входящие" - хороший способ обезопасить себя. Если заражение уже обнаружено, хорошей практикой является анализ всех подключенных к сети устройств на предмет установленных CnC или потенциально вредоносных URL-соединений. После получения подозрительного электронного письма можно настроить параметры периметра, чтобы в будущем блокировать все связанные с ним электронные письма. Наконец, если зараженный файл уже загружен, хост следует поместить в карантин до полного устранения угрозы.
Заключение
Благодаря чрезвычайной простоте использования и низкой стоимости, FormBook набирает обороты в криминальном сообществе. Функциональность вируса не только доступна для скачивания на открытых хакерских форумах и легко настраивается без каких-либо знаний в области программирования, но и оснащена высокотехнологичными методами защиты от вторжений, что делает его обнаружение антивирусным ПО крайне сложным.