FormBook使用Shady文件託管服務進行最新的密碼竊取活動

您如何看待一個文件共享平台，該平台在其常見問題解答中說明了“禁止使用我們的服務以防止任何非法行為，但如果您決定這樣做，我們將不會試圖阻止您”？好吧，如果你是一個黑客試圖推出一個新的FormBook活動，你會對自己說'這正是我正在尋找的'。

FormBook是一種強大的信息竊取惡意軟件，已經存在了將近三年。它在地下市場上活躍交易，黑客喜歡它，因為它具有許多特性，使其成為他們想要做的事情的完美之選。一方面，它有效地滲透了各種敏感信息，另一方面，它擅長逃避檢測。

Table of Contents

FormBook活動隨之而來

經過一段相對平靜的時期後，FormBook幾週前重新出現在地平線上。像往常一樣，該木馬是在垃圾郵件的幫助下分發的。 Deep Instinct的研究人員仔細研究了該活動，並發表了一篇全面的文章，告訴我們這一切是如何運作的。

感染始於惡意RTF格式文檔，該文檔在打開時會利用Microsoft Office的ActiveX和公式編輯器工具中的一些漏洞。該文件連接到一個縮短的URL，這導致一個文件託管在dropmybin [。] me（稍後會詳細介紹）。執行後，有效負載將自身複製到％UserProfile％和％AppData％文件夾，並修改註冊表以實現持久性。

信息竊取操作可以開始。 FormBook從瀏覽器，電子郵件和FTP客戶端中刪除密碼。它具有屏幕抓取功能，可定期截取用戶正在執行的操作的屏幕截圖，並記錄擊鍵。所有數據都默默上傳到特洛伊木馬的命令和控制服務器（C＆C）。

由新的惡意軟件託管服務輔助的大型活動

在過去的幾周里，垃圾郵件的浪潮相對較強，而且可能會繼續存在，尤其是因為這些騙子似乎正在使用文件共享服務。正如我們已經提到的，有效載荷是從dropmybin [。] me上託管的URL下載的 - 同樣的平台禁止非法活動，同時也說它不會對此做任何事情。

文件託管網站可以通過另一個域訪問 - dropmyb [。] in - 它似乎相對較新。實際上，Deep Instinct表示該服務是在1月19日左右推出的，就像最新的FormBook活動一樣。該平台隱藏在CloudFlare背後，意味著無法知道其服務器實際位置。對於它的價值，前面提到的FAQ部分確實表明運行它的人來自俄羅斯。

雖然它是新的，但dropmyb [。]已經收到了一些有關黑客論壇的好評。 Crooks似乎喜歡它，他們也開始將它用於其他惡意軟件系列。