新闻快讯
< >

FireEye:恶意软件FormBook正在攻击美国和韩国的国防工业

据FireEye的研究人员介绍,恶意软件FormBook被发现正在通过针对美国和韩国航空航天工业、国防军工企业承包商以及制造业的网络钓鱼电子邮件进行传播。

FormBook从7月份开始在暗网租售,并且价格灵活,以迎合更多客户的需求。

 FireEye:恶意软件FormBook正在攻击美国和韩国的国防工业-E安全 FireEye:恶意软件FormBook正在攻击美国和韩国的国防工业-E安全

针对美国的网络钓鱼电子邮件包含多种格式文件格式的附件,如PDF、DOC或XLS。而针对韩国的附件文件格式包括ZIP、RAR、ACE和ISO。

FireEye的研究人员在8月11日至8月22日期间发现了两个不同的网络钓鱼电子邮件活动,其中包含不同的附件,并在7月18日至8月17日之间进行了不同于前两个活动的额外活动。在其中一次活动中,黑客使用了PDF附件,以FedEx和DHL运送和包裹交付为主题发送网络钓鱼电子邮件。这些PDF附件中包含有“可联系我”的网址缩短服务,如果受害者点击了这个网址则会被重定向到包含有FormBook可执行有效载荷的服务器。

在其他一些活动中,黑客利用包含恶意宏的DOC和XLS作为附件或利用恶意的ZIP、RAR、ACE和ISO文件作为附件,这些附件中都包含有FormBook的可执行文件。

恶意软件FormBook主要被用于窃取用户数据,和其他间谍软件一样,它能够从HTTP会话中提取数据、按键记录以及剪贴板内容。

此外,FormBook还可以从命令和控制(C2)服务器接收指令来执行许多恶意活动,例如下载更多的有效载荷。

FireEye在发布的分析报告中解释说:“FormBook通过注入各种进程,并安装功能来获取按键记录,窃取剪贴板内容,并从HTTP会话中提取数据。FormBook还可以从命令和控制(C2)服务器接受指令,这些指令包括指示恶意软件下载和执行文件,启动进程,关闭并重新启动系统以及窃取cookie和本地密码。”

据研究人员介绍,FormBook的开发者制作了一个特有的功能,允许恶意代码将“Windows”ntdll.dll模块从磁盘读入内存,并直接调用其导出的功能,使用户模式挂接和API监视机制无效。

FormBook可能会注入浏览器进程(ie iexplore.exe、firefox.exe、chrome.exe),并且能够根据目标进程安装不同的函数钩子

部分目标进程名称:

iexplore.exe、firefox.exe、chrome.exe、MicrosoftEdgeCP.exe、explorer.exe、opera.exe、safari.exe、torch.exe、maxthon.exe、seamonkey.exe、avant.exe、deepnet.exe、k- meleon.exe、citrio.exe、coolnovo.exe、coowon.exe、cyberfox.exe、dooble.exe、vivaldi.exe、iridium.exe、epic.exe、midori.exe、mustang.exe、orbitum.exe、palemoon. exe、qupzilla.exe、sleipnir.exe、superbird.exe、outlook.exe、thunderbird.exe、totalcmd.exe。

在注入任意目标进程之后,FormBook会根据进程设置用户模式的API钩子。