資料竊取惡意軟體 FormBook 再次透過免費檔案儲存空間肆虐

圖片來源:https://www.technadu.com/security-researchers-report-formbook-malware-spike/56235/

一支早在2016年就被發現,會竊取用戶Windows電腦中各種帳號密碼的惡意軟體FormBook,最近被資安研究人員發現再次透過免費檔案空間活躍;目前北美地區已有眾多受害者。

攻擊手法

FormBook 的典型攻擊手法,是透過詐騙郵件進行。用戶點開了詐騙郵件中含有惡意指令的 RTF 或 PDF 檔後,該惡意指令便會利用 Office 的指令執行漏洞(CVE-2012-0158 與 CVE-2017-11882) ,從一個才開站一周,叫做 DropMyBin 的檔案下載服務中下載 FormBook,並安裝於用戶的 Windows 系統中,成為開機自動背景執行的軟體。

一旦 FormBook 成功安裝並開始執行,就會盡可能竊取用戶電腦中的各種帳號密碼,例如瀏覽器、Email 和 FTP 軟體記錄的登入資訊,同時還會記錄並傳送用戶的按鍵動作,甚至還會偷拍用戶畫面截圖,將資料上傳至其伺服器。

資安廠商 DeepInstinct 完整描述了該惡意軟體的運作流程與特徵碼。

資料來源:

  1. https://www.deepinstinct.com/2019/01/27/info-stealer-formbook-continues-activity-and-uses-a-new-malware-friendly-file-hosting-service/
  2. https://www.technadu.com/security-researchers-report-formbook-malware-spike/56235/
回到頂端