FireEye observó varias campañas de distribución de alto volumen del malware FormBook atacando primordialmente los sectores aeroespacial, contratistas de defensa y manufactura, dentro de E.U. y Corea del Sur durante los últimos meses. Los atacantes involucrados en estas campañas de correos aprovechan una variedad de mecanismos de distribución para entregar la información robada por el malware FormBook, incluyendo:
- PDFs con enlaces de descarga
- Archivos DOC y XLS con macros maliciosas
- Archivos ZIP, RAR, ACE e ISO que contienen cargas EXE
Las campañas de PDF y DOC/XLS impactan principalmente Estados Unidos y las campañas de archivos han impactado Estados Unidos y Corea del Sur.
FormBook es un ladrón de datos y capturador de formas que ha sido anunciado en varios foros de hackers desde comienzos del 2016. El malware se inyecta en varios procesos e instala anzuelos de funciones para registrar las pulsaciones de teclado, robar contenidos del portapapeles y extraer datos de las sesiones HTTP. El malware puede también ejecutar comandos de un servidor de comando y control (C2), los comandos incluyen instruir al malware para descargar y ejecutar archivos, comenzar procesos, apagar y reiniciar el sistema y robar cookies y passwords locales.
También cuenta con un método de persistencia que cambio al azar la ruta, nombre del archivo, extensión del archivo y la clave de registro usada para la persistencia. El autor del malware no vende el constructor sino solamente el panel y luego genera los archivos ejecutables como un servicio.
FormBook no es único tanto en su funcionalidad como en sus mecanismos de distribución, es relativamente fácil de usar, tiene una estructura de precios razonables y disponibilidad abierta, lo que lo hace una atractiva opción para cibercriminales de varios niveles de habilidad. En las últimas semanas, FormBook fue visto descargando otras familias de malware como NanoCore. Las credenciales y otros datos cosechados de infecciones exitosas de FormBook pueden ser usadas para actividades adicionales de ciber crimen, incluyendo, pero no limitado a: robo de identidad, operaciones continuas de phishing, fraude bancario y extorsión.
