In atto cyber offensiva contro Usa-Corea del Sud con malware FormBook

Oracleweblogicserver Certpa Ddos Rat Apk Botnet Formbook Maas Malware Certpa Talos Menlosecurity Pony Malspam Phishing Microsoftoffice Group123 Adobe Flashplayer Hacker Rakrat Pyongyang Kimjongun Hackerdistato Phishing Cyber Cybewrwarfare Cyberwar Cyberattacchi Campagnecyber Sicurezzainformatica Coreadelsud Seul Hiddencobra Punycode Malware Hacker Omografia Sicurezzainformatica Ibm Fallchill Volgmer Coreadelnord Pyongyang Kimjongun Cyberattacchi Cyber Cyberwarfare Cyberwar Sicurezzainformatica FormBook FireEye Malware Usa Coreadelsud Aziende APT33 Iran Teheran Spearphishing Backdoor Ddos Usa NIAC Arabiasaudita Coreadelsud 11settembre Terrorismo Isis AlQaeda UK Cyber39 Level39 Cyber Aziende Filippine NBI Corruzione Dipartimento Giustizia National Cybersecurity Plan Petya Cybercrime Interpol Kaspersky Malware ASEAN MalwareBytes Ransomware WannaCry Ransomworm Hacker Dallas  Cyber Security Cyber Espionage–iran Singapore Australia UK Server Cyberwarfare Social Media Teheran Cyber

FormBook colpisce con falsi allegati DOC, XLS, ZIP, RAR, ACE e ISO

Il cybercrime ha lanciato una cyber offensiva con una campagna di distribuzione del malware FormBook. I bersagli sono aziende aerospaziali, della difesa e del manufatturiero. Lo ha rivelato FireEye. Gli aggressori per diffonderlo impiegano una varietà di metodi di consegna. In particolare falsi allegati PDF che contengono link di download; files DOC e XLS con macro malevole e oggetti  ZIP, RAR, ACE e ISO, al cui interno sono presenti payloads eseguibili.  Più in dettaglio, le campagne PDF e DOC/XLS hanno preso di mira soprattutto imprese negli Usa. Quelle legate agli archivi, invece, sono state dirette sia verso gli Stati Uniti sia in Corea del Sud.

Perché il cybercrime usa questo malware

FormBook ruba data e cattura il contenuto dei modelli, ricorda FireEye. Dal 2016, il malware è stato pubblicizzato su una serie di forum di hacker, come un servizio in affitto (malware-as-a-service, MAAS) o in vendita. Nel primo caso i prezzi variano da 29 dollari a settimana a 59 al mese, fino a 99 per un intero trimestre. nel secondo, è possibile acquistarlo in un pacchetto “pro” per 299 dollari. Opera inserendosi all’interno di vari processi e installando funzioni per agganciare log keystrokes e rubare i contenuti della clipboard della vittima. Successivamente, estrae i dati dalle sessioni HTTP. E’ anche in grado di eseguire comandi da un server C&C, inclusi quelli di download e di esecuzione di files, l’apertura di processi e lo spegnimento e il riavvio di un sistema. Può anche sottrarre illecitamente i cookies e le password locali di un dispositivo infetto.

La sua pericolosità è data dalle caratteristiche e dal fatto che costa poco. Per FireEye sarà usato anche in futuro per cyber attacchi

FormBook, secondo FireEye, è estremamente difficile da rilevare a causa delle sue caratteristiche e del suo metodo di persistenza. Questo, infatti, è in grado di cambiare il path, il nome del file, l’estensione e la chiave di registro usata per restare all’interno di un sistema. A quanto si apprende, il creatore del malware non vende il suo builder, ma solo il pannello che genera i files eseguibili. Ciò lo rende, di conseguenza, abbastanza facile da usare. Questo, unito al fatto che è disponibile a tutti e i prezzi per affittarlo sono competitivi, lo ha reso un malware molto popolare. E’ probabile, perciò, che sarà usato anche in futuro dal cybercrime per offensive cyber.

L’articolo di FireEye sulle campagne del malware contro Usa e Corea del Sud