Недавняя кампания по распространению вредоносных программ выявила использование хакерами службы Horus Protector для доставки FormBook, похитителя информации. Эта технология, впервые обнаруженная в прошлом году, нацелена на скрытие своей активности и избегание обнаружения антивирусами.
Как происходит атака
Атака начинается с фишинговых электронных писем, которые содержат вредоносные вложения в виде документов Microsoft Word. При открытии этих документов применяется метод обфускации Horus Protector для внедрения FormBook. Структура зараженных документов выглядит следующим образом:
- Документы Word представлены в виде сжатых файлов.
- После извлечения они превращаются в RTF-файл под названием Panama.rtf, расположенный в каталоге _rels.
- Этот RTF-файл содержит встроенный файл сценария Client.vbe, написанный на Visual Basic.
Анализ кода и его функции
Несмотря на наличие потенциального эксплойта для уязвимости удаленного выполнения кода (CVE-2017-11882), в процессе выполнения атаки он не используется. Расшифровка кода VBE показывает, что он состоит из нескольких ключевых компонентов:
- Constants and Configuration: Запутанный скрипт VBS, который сохраняется в каталоге AppData как lJlpBAHduOhBIlJ.vbs.
- Функция, проверяющая запущенные процессы, и, в случае необходимости, запускающая PowerShell для выполнения команд из реестра.
- Методы управления записями реестра, включая завершение процессов и динамическую загрузку .NET компонентов.
Усложнение обнаружения атаки
Фрагментарное хранение файла FormBook PE в нескольких разделах реестра позволяет ему занимать больше объема, чем это возможно при использовании стандартных записей реестра. Главная логика скрипта объединяет все элементы, настраивая пути, корректируя записи реестра, создавая запланированные задачи и управляя выполнением FormBook в зависимости от заданных условий.
Заключение: важность защиты от фишинга
Динамический анализ показал, что встроенный RTF-файл запускает сценарий VBE, создавая записи в реестре и файл VBS в AppData, а также запланированную задачу для постоянного выполнения. PowerShell становится ключевым инструментом для многоэтапного развертывания FormBook, внедряя вредоносное ПО в законные процессы Windows, например, RegAsm.exe. Это значительно усложняет его обнаружение с помощью традиционных средств безопасности.
Кампания подчеркивает опасности, связанные с тактикой социальной инженерии, особенно через использование вложений в документы. Для защиты необходимо реализовать меры по блокировке вредоносных электронных писем и предупреждению дальнейших атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака FormBook: новые угрозы через фишинговые письма".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.