Dettaglio News Dettaglio News

Eventi di diffusione del malware FormBook
21/06/2018
FormBook è un malware in grado di catturare la digitazione dell'utente, rubare password, acquisire schermate e può essere realizzato velocemente in quanto è disponibile come "malware as service".

Il malware è inoltre in grado di eludere i sistemi di sicurezza come sandbox o antivirus, in quanto non è presente codice o shellcode nel documento dannoso, ma si basa su una catena di infezione che prevede una fase di scaricamento di un oggetto malevolo ospitato remotamente.

La campagna osservata prevede l'utilizzo di allegati nei messaggi di posta (phishing o spam) atti a sfruttare due note vulnerabilità della suite Microsoft Office.

In particolare si tratta di allegati in grado di fruttare le falle contrassegnate dal CVE-2017-0199 e CVE-2017-11882 che se eseguiti dall'utente permettono di scaricare codice malevolo da risorse remote.

Nel caso rilevato dai ricercatori Talos, tale fase ha coinvolto una specifica piattaforma di condivisione file giapponese (pomf.pyonpyon.moe).

Di seguito riportata la catena di infezione notata nelle campagna di attacco:



Fase 1
La mail malevola contiene allegati, un file di modello Microsoft Office malevolo (.dotm) e un file PDF dannoso (.PDF) come mostrato nella seguente immagine:



Il file con formato .dotm, nel caso specifico, non viene utilizzato come da prassi per condividere modelli, piuttosto per scaricare un documento di Office aggiuntivo dalla risorsa remota. Questo file è infatti armato con un exploit per il CVE-2017-0199 e finalizzato ad attivare un download dall'esterno.

Il file .pdf, contiene codice un oggetto JavaScript che esegue un file .dotm incluso all'interno del pdf stesso. 

La metodologia di utilizzare due allegati distinti per riprodurre sfruttare il CVE-2017-0199 finalizzati a scaricare codice da remoto, non è ben chiara. L'attaccante potrebbe semplicemente far leva sulla possibilità di colpire l'utente fornendo due distinti file come vettori di attacco.

Fase 2
Qualora la Fase 1 si completi con successo, dalla risorsa esterna viene scaricato un file .doc, in formato RTF (Rich Text Format) che contiene codice atto a sfruttare il CVE-2017-11882 e a sua volta scaricare il payload finale di FormBook ospitato sul sito Wordpress compromesso hxxp://irishlebanese[.]com.

La modalità di attacco ivi descritta è l'ultima rilevata in-the-wild, ma non l'unica dal momento che i ricercatori di Menlo Security, nel mese di marzo 2018, hanno rilevato simili attacchi via mail tramite file .doc in grado di utilizzare il framesetossia un tag HTML, con frame responsabile dello caricamento di documenti). Quando il documento viene semplicemente visualizzato in modalità "Modifica" di Microsoft Office (e non in modalità "Protetta"), il frame punta ad un collegamento di tipo TinyURL definito nel file webSettings.xml.rels incluso nel file.

A prescindere dalle tecniche di diffusione utilizzate, si nota un'ampia diffusione del malware FormBook. A tal proposito il CERT-PA fornisce gli indicatori di compromissione associati a questa tipologia di malware:

IoC (.csv)