2017032823

新型恶意软件 FormBook 瞄准美韩航空、国防与制造业展开网络钓鱼攻击

  • 浏览次数 5633
  • 喜欢 0
  • 评分 12345

据外媒 10 月 10 日报道,网络安全公司 FireEye 研究人员近期发现一款新型恶意软件 FormBook,旨在针对美韩航空航天公司、国防承包商与部分制造企业展开网络钓鱼攻击。

FormBook 是一款用于窃取用户数据的恶意软件,其主要从 HTTP 会话中提取敏感数据、按键记录以及剪贴板内容。据悉,自 2016 年初以来,多数黑客论坛均出售了该恶意软件的 Windows 版本。此外,经调查显示,FormBook 还可以从命令与控制服务器上执行特殊命令,包括下载恶意软件并执行其他文件、启动进程、关闭并重新引导受感染系统以及窃取 cookie 会话与本地密码等。

fig8

图:附带恶意软件的电子邮件

然而,FormBook 还具备一个最 “有趣” 的功能–允许恶意代码将 Windows’ntdll.dll 模块从磁盘读入内存,并直接调用其导出功能,从而使用户连接模式与 API 监视机制无效。值得注意的是,研究人员还发现攻击者在侵入目标设备后可随机更改系统路径、文件名、文件扩展名与注册表项。

研究人员透露,攻击者主要通过包含恶意附件的电子邮件进行分发,其附件包括 PDF、DOC、XLS、ZIP、RAR、ACE 与 ISO 等存档形式。据悉,该电子邮件要求用户通过附件链接下载与打印附件。一旦用户点击,目标设备将立即部署恶意有效负载。目前,该恶意链接已在全球 36 个国家共获得 716 次访问。

fig9

图:受影响国家分布比例

不过,研究人员指出,恶意软件幕后黑手在访问目标系统控制面板后将其重要信息生成可执行文件,并作为专业服务出售,其每周价格为 29 美元至 299 美元不等。知情人士获悉,虽然 FormBook 的功能或分发机制不是独一无二的,但它相对易用、实惠的定价结构和开放的可用性,都成为不同技能水平网络犯罪分子的选择。目前,通过 FormBook 成功感染目标设备的网络犯罪活动,包括但不限于:身份盗用、网络钓鱼攻击、银行诈骗和敲诈勒索活动。

原作者:Hyacinth Mascarenhas,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot