Formbook tym razem jako „kopia wpłaty”

Formbook to przez ostatnie lata jedna z najpopularniejszych rodzin złośliwego oprogramowania. Potrafi przechwytywać loginy i hasła z przeglądarek, wykonywać zrzuty ekranu, rejestrować naciśnięcia przycisków oraz – jak większość sieciowego paskudztwa – pobierać i uruchamiać inne szkodliwe pliki. Nic więc dziwnego, że dość regularnie pojawia się w kolejnych kampaniach, o podobnych charakterystykach. Ostatnia zaobserwowana przez nas wygląda tak:

„Pan Robert” w pliku Kopia płatności nie zawarł oczywiście pliku PDF. To link, prowadzący z hxxp://data.sin-thai[.]sbs/pol/ do hxxp://cmnops[.]com/kopia płatności.img. Po rozpakowaniu pliku img (ccb59f0c235ee722278de44a0fd7ac89) dostajemy finalny malware – KOPIA_PL.exe z serwerem Command&Control pod adresem www[.]fedefarmatour.online/dwdp/.