FormBook malware: Η τελευταία μόδα του διαδικτύου στα λημέρια των χάκερ.
Το συγκεκριμένο κακόβουλο λογισμικό είναι ευρέως διαθέσιμο στα hacking φόρουμ από το 2016 και είναι φθηνό για τους κυβερνοεγκληματίες να το αποκτήσουν και να το αναπτύξουν σύμφωνα με τις νέες ανάγκες τους.
Οι μεγάλες εκστρατείες διανομής κακόβουλων προγραμμάτων FormBook έχουν στοχοθετημένες επιχειρήσεις στον κλάδο της αεροδιαστημικής, του στρατιωτικού αμυντικού τομέα και της μεταποιητικής βιομηχανίας σύμφωνα με νέα έρευνα της εταιρείας FireEye.
Οι εισβολείς πίσω από αυτές τις καμπάνιες χρησιμοποίησαν μια ποικιλία μεθόδων παράδοσης για τη διανομή αυτών των πληροφοριών κακόβουλου λογισμικού, συμπεριλαμβανομένων αρχείων PDF με συνδέσμους λήψης, αρχεία DOC και XLS που περιέχουν κακόβουλες μακροεντολές και αρχεία αρχείων ZIP, RAR, ACE και ISO που περιέχουν εκτελέσιμα ωφέλιμα φορτία.
Το FireEye διαπίστωσε ότι οι καμπάνιες PDF και DOC / XLS απευθύνονταν κυρίως σε επιχειρήσεις στις ΗΠΑ, ενώ οι εκστρατείες αρχειοθέτησης επηρέασαν τόσο τις ΗΠΑ όσο και τη Νότια Κορέα.
Το malware του FormBook κλέβει τα δεδομένα και λαμβάνει τα περιεχόμενα διαφόρων εγγράφων. Από το 2016, αυτό το κακόβουλο λογισμικό έχει διαφημιστεί σε διάφορα φόρουμ hacking και οι επιτιθέμενοι που επιθυμούν να το χρησιμοποιήσουν για να κλέψουν τα δεδομένα των χρηστών θα μπορούσαν να το κάνουν για $ 29 την εβδομάδα, $ 59 το μήνα, $ 99 ανά τρίμηνο ή ακόμα και να αγοράσουν pro πακέτο για $ 299 .
Το FormBook λειτουργεί με την έγχυση του σε διάφορες διαδικασίες και την εγκατάσταση function hooks για την καταγραφή πληκτρολογίων, την κλοπή των περιεχομένων του προχείρου ενός χρήστη και την εξαγωγή δεδομένων από τις συνεδρίες HTTP.
Το κακόβουλο πρόγραμμα είναι επίσης σε θέση να εκτελέσει εντολές από ένα διακομιστή εντολών και ελέγχου, συμπεριλαμβανομένης της καθοδήγησης του κακόβουλου λογισμικού για τη λήψη και την εκτέλεση αρχείων, την έναρξη διαδικασιών, τον τερματισμό ή την επανεκκίνηση του συστήματος, καθώς και την απόκρυψη cookies και τοπικών κωδικών πρόσβασης που είναι αποθηκευμένα στη μολυσμένη συσκευή.
Το FormBook malware είναι ιδιαίτερα δύσκολο να ανιχνευθεί επειδή διαθέτει απλά μια μέθοδο δράσης και μπορεί εύκολα να αλλάξει τη διαδρομή, το όνομα αρχείου, την επέκταση αρχείου και το κλειδί μητρώου που χρησιμοποιείται για την παρούσα διαδικασία.
Ο δημιουργός αυτού του κακόβουλου λογισμικού δεν πουλάει τον κατασκευαστή αλλά μόνο τον πίνακα που παράγει τα εκτελέσιμα αρχεία ως υπηρεσία.
Οι εγκληματίες του κυβερνοχώρου έχουν αρχίσει να χρησιμοποιούν το κακόβουλο λογισμικό του FormBook λόγω της σχετικής ευκολίας χρήσης του, της οικονομικά προσιτής τιμολογιακής δομής και της ανοικτής διαθεσιμότητάς του. Αυτό πιθανότατα να εξυπηρετεί ακόμα και τους αρχάριους χάκερ που έχουν ελάχιστη γνώση στις γλώσσες προγραμματισμού και κατ’ επέκταση σε πολύπλοκο κώδικα.