FormBook使用Shady文件托管服务进行最新的密码窃取活动

The FormBook Password-Stealing Trojan

您如何看待一个文件共享平台,该平台在其常见问题解答中说明了“禁止使用我们的服务以防止任何非法行为,但如果您决定这样做,我们将不会试图阻止您”?好吧,如果你是一个黑客试图推出一个新的FormBook活动,你会对自己说'这正是我正在寻找的'。

FormBook是一种强大的信息窃取恶意软件,已经存在了将近三年。它在地下市场上活跃交易,黑客喜欢它,因为它具有许多特性,使其成为他们想要做的事情的完美之选。一方面,它有效地渗透了各种敏感信息,另一方面,它擅长逃避检测。

FormBook活动随之而来

经过一段相对平静的时期后,FormBook几周前重新出现在地平线上。像往常一样,该木马是在垃圾邮件的帮助下分发的。 Deep Instinct的研究人员仔细研究了该活动,并发表了一篇全面的文章 ,告诉我们这一切是如何运作的。

感染始于恶意RTF格式文档,该文档在打开时会利用Microsoft Office的ActiveX和公式编辑器工具中的一些漏洞。该文件连接到一个缩短的URL,这导致一个文件托管在dropmybin [。] me(稍后会详细介绍)。执行后,有效负载将自身复制到%UserProfile%和%AppData%文件夹,并修改注册表以实现持久性。

信息窃取操作可以开始。 FormBook从浏览器,电子邮件和FTP客户端中删除密码。它具有屏幕抓取功能,可定期截取用户正在执行的操作的屏幕截图,并记录击键。所有数据都默默上传到特洛伊木马的命令和控制服务器(C&C)。

由新的恶意软件托管服务辅助的大型活动

在过去的几周里,垃圾邮件的浪潮相对较强,而且可能会继续存在,尤其是因为这些骗子似乎正在使用文件共享服务。正如我们已经提到的,有效载荷是从dropmybin [。] me上托管的URL下载的 - 同样的平台禁止非法活动,同时也说它不会对此做任何事情。

文件托管网站可以通过另一个域访问 - dropmyb [。] in - 它似乎相对较新。实际上,Deep Instinct表示该服务是在1月19日左右推出的,就像最新的FormBook活动一样。该平台隐藏在CloudFlare背后,意味着无法知道其服务器实际位置。对于它的价值,前面提到的FAQ部分确实表明运行它的人来自俄罗斯。

虽然它是新的,但dropmyb [。]已经收到了一些有关黑客论坛的好评。 Crooks似乎喜欢它,他们也开始将它用于其他恶意软件系列。

如何保护自己

目前的活动似乎主要针对零售和酒店业的企业和组织,所以公平地说,对个人用户的危险并不是那么大. 话虽这么说,打开附加到你没想到的电子邮件的文件就像以前一样糟糕。

对于你们中间的系统管理员,专家说,针对dropmyb [。] in和dropmybin [。]我的零信任政策可能不是一个坏主意,至少目前如此。

March 1, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
4 + 9是什么?