Nowe maile z Formbookiem

Raz na jakiś czas cyberprzestępcy wracają do swoich ulubionych rodzajów złośliwego oprogramowania. Tym razem przyszła pora na Formbooka, którego przez ostatnie miesiące raczej nie widywaliśmy.

W aktualnym przypadku oszuści podszywają się pod istniejącą – w tej sytuacji Bogu ducha winną – firmę. Jeśli mail trafiłby do jej kontrahenta, bądź kogokolwiek branżowo związanego, ryzyko otwarcia załączonego pliku znacząco by wzrosło. Skąd dziwne literówki i kod w treści maila? Przyczyna może być dwojaka – albo błędy oszustów, bądź też przemyślana aktywność, by oszukać automatyczne systemy bezpieczeństwa.

Sam plik – jak zwykle – uruchomi się po akceptacji makr. To znany nam już od dawna Formbook – stealer, wykradający szereg danych z zainfekowanego urządzenia, z naciskiem na treści powiązane z transakcjami finansowymi. Te ostatnie może również wykradać, używając wstrzykniętych bez wiedzy użytkownika stron, podszywających się pod witryny bankowe. Pisaliśmy o nim tutaj i tutaj w ubiegłym roku.

Indicators of Compromise

Złośliwy plik pobierany jest z adresu

hxxp://103[.]167.92.57/365cloud/vbc[.]exe.

Analizowana próbka – po odsianiu wabików – łączyła się natomiast z adresem C&C

hxxp://www[.]nugu.team/nazb