Nowe maile z Formbookiem
Raz na jakiś czas cyberprzestępcy wracają do swoich ulubionych rodzajów złośliwego oprogramowania. Tym razem przyszła pora na Formbooka, którego przez ostatnie miesiące raczej nie widywaliśmy.
![](https://cert.orange.pl/wp-content/uploads/2023/10/6c17e65769cdf7f5907172850f7477925234bffc.png)
W aktualnym przypadku oszuści podszywają się pod istniejącą – w tej sytuacji Bogu ducha winną – firmę. Jeśli mail trafiłby do jej kontrahenta, bądź kogokolwiek branżowo związanego, ryzyko otwarcia załączonego pliku znacząco by wzrosło. Skąd dziwne literówki i kod w treści maila? Przyczyna może być dwojaka – albo błędy oszustów, bądź też przemyślana aktywność, by oszukać automatyczne systemy bezpieczeństwa.
![](https://cert.orange.pl/wp-content/uploads/2023/10/cac0068bbb743babc5637af76ab981c248fccecd-1024x558.png)
Sam plik – jak zwykle – uruchomi się po akceptacji makr. To znany nam już od dawna Formbook – stealer, wykradający szereg danych z zainfekowanego urządzenia, z naciskiem na treści powiązane z transakcjami finansowymi. Te ostatnie może również wykradać, używając wstrzykniętych bez wiedzy użytkownika stron, podszywających się pod witryny bankowe. Pisaliśmy o nim tutaj i tutaj w ubiegłym roku.
Indicators of Compromise
Złośliwy plik pobierany jest z adresu
hxxp://103[.]167.92.57/365cloud/vbc[.]exe.
Analizowana próbka – po odsianiu wabików – łączyła się natomiast z adresem C&C
hxxp://www[.]nugu.team/nazb