FormBook使用Shady文件託管服務進行最新的密碼竊取活動

The FormBook Password-Stealing Trojan

您如何看待一個文件共享平台,該平台在其常見問題解答中說明了“禁止使用我們的服務以防止任何非法行為,但如果您決定這樣做,我們將不會試圖阻止您”?好吧,如果你是一個黑客試圖推出一個新的FormBook活動,你會對自己說'這正是我正在尋找的'。

FormBook是一種強大的信息竊取惡意軟件,已經存在了將近三年。它在地下市場上活躍交易,黑客喜歡它,因為它具有許多特性,使其成為他們想要做的事情的完美之選。一方面,它有效地滲透了各種敏感信息,另一方面,它擅長逃避檢測。

FormBook活動隨之而來

經過一段相對平靜的時期後,FormBook幾週前重新出現在地平線上。像往常一樣,該木馬是在垃圾郵件的幫助下分發的。 Deep Instinct的研究人員仔細研究了該活動,並發表了一篇全面的文章 ,告訴我們這一切是如何運作的。

感染始於惡意RTF格式文檔,該文檔在打開時會利用Microsoft Office的ActiveX和公式編輯器工具中的一些漏洞。該文件連接到一個縮短的URL,這導致一個文件託管在dropmybin [。] me(稍後會詳細介紹)。執行後,有效負載將自身複製到%UserProfile%和%AppData%文件夾,並修改註冊表以實現持久性。

信息竊取操作可以開始。 FormBook從瀏覽器,電子郵件和FTP客戶端中刪除密碼。它具有屏幕抓取功能,可定期截取用戶正在執行的操作的屏幕截圖,並記錄擊鍵。所有數據都默默上傳到特洛伊木馬的命令和控制服務器(C&C)。

由新的惡意軟件託管服務輔助的大型活動

在過去的幾周里,垃圾郵件的浪潮相對較強,而且可能會繼續存在,尤其是因為這些騙子似乎正在使用文件共享服務。正如我們已經提到的,有效載荷是從dropmybin [。] me上託管的URL下載的 - 同樣的平台禁止非法活動,同時也說它不會對此做任何事情。

文件託管網站可以通過另一個域訪問 - dropmyb [。] in - 它似乎相對較新。實際上,Deep Instinct表示該服務是在1月19日左右推出的,就像最新的FormBook活動一樣。該平台隱藏在CloudFlare背後,意味著無法知道其服務器實際位置。對於它的價值,前面提到的FAQ部分確實表明運行它的人來自俄羅斯。

雖然它是新的,但dropmyb [。]已經收到了一些有關黑客論壇的好評。 Crooks似乎喜歡它,他們也開始將它用於其他惡意軟件系列。

如何保護自己

目前的活動似乎主要針對零售和酒店業的企業和組織,所以公平地說,對個人用戶的危險並不是那麼大. 話雖這麼說,打開附加到你沒想到的電子郵件的文件就像以前一樣糟糕。

對於你們中間的系統管理員,專家說,針對dropmyb [。] in和dropmybin [。]我的零信任政策可能不是一個壞主意,至少目前如此。

March 1, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 9是什麼?