Ondata di attacchi con FormBook, il trojan per apprendisti cyber-spioni

Ott 10, 2017 Marco Schiaffino Keylogger, Malware, Minacce, News, RSS, Trojan 0

Due campagne di distribuzione hanno preso di Mira Stati Uniti e Corea del Sud. Il malware viene “noleggiato” a prezzi modici nel Dark Web.

Stufi di rubare account di Facebook o i dati delle carte di credito di qualche impiegato squattrinato? Fate il grande salto e datevi allo spionaggio industriale!

È questo, in sintesi, il messaggio che deve essere passato sui forum del Deep Web negli ultimi mesi e a quanto pare deve aver fatto una certa presa.

Come spiegano i ricercatori di FireEye, infatti, nelle ultime settimane si sta assistendo a un vero boom di attacchi nei confronti di aziende aerospaziali, complessi industriali e società collegate al settore della finanza e della consulenza.

Lo strumento impiegato per questi attacchi è FormBook, un trojan che viene venduto (ma sarebbe meglio dire “noleggiato”) attraverso annunci nei forum frequentati da hacker e pirati informatici.

Con soli 29 dollari a settimana si può avere a disposizione il proprio trojan con tanto di sistema di controllo tramite Web.

Come spiegano i ricercatori, si tratta di un malware che può essere utilizzato anche da chi non ha grandi competenze in programmazione e che risulta quindi appetibile anche per i neofiti del cyber-crimine.

Dal punto di vista tecnico, FormBook non è qualcosa di rivoluzionario, ma a livello di funzionalità non gli manca nulla. Consente di catturare tutto ciò che viene digitato sulla tastiera, rubare i dati dagli appunti, sottrarre le password dal browser e dai client di posta elettronica e catturare screenshots dello schermo.

Il controllo in remoto consente anche di impartire una serie di ordini come quello di aggiornare il malware, scaricare ed eseguire un file, impartire comandi tramite ShellExecute, riavviare o spegnere il sistema.

I server Command and Control, forniti in dotazione nel pacchetto, sono ospitati da un provider ucraino e, secondo gli analisti di FireEye, sono stati registrati attraverso un servizio di protezione della privacy che non consente di risalire a responsabili.

Il malware, in sé, viene distribuito sotto forma di un archivio RAR autoestraente, che il “cliente” deve quindi solo riuscire a far arrivare sul computer della vittima e convincerla ad aprirlo. L’estrazione e l’avvio in memoria del trojan è automatico.

Le due maggiori campagne di distribuzione individuate dagli esperti negli ultimi mesi hanno adottato tecniche differenti. La prima, che ha preso di mira principalmente gli Stati Uniti, sfrutta l’invio di email con un documento PDF allegato, al cui interno è presente un link che “punta” all’installer di FormBook.

Il PDF in sé non contiene alcun codice pericoloso. Il problema si nasconde nel collegamento inserito nel testo.

La seconda, invece, ha sfruttato l’invio di email con allegati archivi compressi in vari formati (ZIP, RAR, ACE e persino ISO) che sfruttavano le più classiche tecniche di ingegneria sociale utilizzando un oggetto del tipo “Conferma di pagamento” o “Nuovo ordine”.

Questa seconda campagna sembra aver preso di mira principalmente la Corea del Sud (31% degli attacchi individuati) e gli Stati Uniti (22% dei casi).

I picchi di attacchi si sono registrati durante l’estate, ma è probabile che se il servizio di “malware as a service” sta registrando tutto questo successo, non passerà molto tempo prima che la formula sia ripresa da qualcun altro.

Condividi l'articolo