Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

De massives campagnes de diffusion du malware FormBook impactent les Etats Unis et la Corée du Sud

octobre 2017 par FireEye

Les analystes de FireEye ont détecté au cours des derniers mois plusieurs campagnes massives de diffusion du malware FormBook, ciblant principalement les secteurs de l’Aérospatial, de la Défense et de l’Industrie Manufacturière aux Etats Unis et en Corée du Sud.

Les attaquants à l’origine de ces attaques par email ont exploité une variété de mécanismes de distribution pour délivrer le malware FormBook, dédié au le vol d’informations, dont :

 Des fichiers PDF contenant des liens de téléchargement

 Des fichiers DOC et XLS contenant des macros malicieuses

 Des fichiers « zippés » (ZIP, RAR, ACE et ISO) contenant des fichiers EXE.

Les campagnes PDF et DOC/XLS ont impacté principalement les Etats Unis, et les campagnes « zip » ont largement impacté les Etats Unis et la Corée du Sud.

Description de FormBook

FormBook est un malware dédié au vol de données et à la récolte de formulaires et de mots passe, qui fait régulièrement l’objet de publicités sur divers forums de ‘hackers’ depuis début 2016.

Le malware s’injecte dans divers processus et installe des fonctions lui permettant d’enregistrer les touches au clavier, de voler les contenus de presse-papiers, et d’extraire des données de sessions http. Il peut aussi exécuter des commandes à partir d’un serveur de commande et de contrôle (C2). Ces commandes comprennent télécharger et exécuter des fichiers, démarrer des processus, éteindre et rebooter le système, et voler des cookies et des mots de passe sur les machines hôtes.

L’un de ses caractéristiques les plus intéressantes est qu’il lit le module ntdll.dll de Windows à partir du disque dans la mémoire, et appelle directement ses fonctions exportées, rendant inefficaces les mécanismes de ‘user mode hooking’ et d’API Monitoring.

Il intègre également une méthode de persistance qui change de façon aléatoire le chemin emprunté, le nom de fichier, l’extension de fichier et la clé de registre utilisée.

FormBook n’a pour l’instant aucune extension ni aucun plug in. Dans le détail, ses capacités comprennent :

• L’enregistrement des touches au clavier
• L’enregistrement des presse-papiers
• La récolte de formulaires et requêtes réseau http/HTTPS/SPDY/HTTP2
• La récolte de mots de passe à partir de navigateurs et de clients email
• La réalisation de captures d’écran.

Campagnes de distribution

Les campagnes PDF

Les campagnes PDF ont exploité des thèmes d’enlèvement et de livraison de colis FedEx et DHL, ainsi qu’un thème de partage de documents. Les PDFs distribués ne contenaient pas de code malicieux, uniquement un lien pour télécharger le malware FormBook.

Les serveurs utilisés étaient en fait des sites web compromis.

716 téléchargements du malware ont été mesurés dans 36 pays, dont 71% dans les seuls Etats Unis (3% en France).

Les campagnes DOC/XLS

Les campagnes email distribuant les fichiers DOC et XLS se sont appuyées sur l’utilisation de macros malicieuses pour télécharger le fichier exécutable.

Les technologies de détection de FireEye ont observé cette activité malicieuse entre le 11 et le 22 Août 2017, touchant en grande majorité les Etats Unis (61%), (3% en France), les secteurs les plus ciblés étant l’aérospatial et la défense.

Les campagnes avec des contenus « zippés »

Ces campagnes ont délivré une variété de format d’archivage, dont ZIP, RAR, ACE et ISO, et ont représenté les plus forts volumes de distribution. Elles ont exploité une grande diversité d’objets dans les messages email, pour la plupart liées à des activités business, souvent concernant des paiements et des bons de commande.

Les technologies de détection de FireEye ont observé cette campagne entre le 18 Juillet et le 17 Août 2017, ciblant en majorité la Corée du Sud (31%) et les Etats Unis (22%) (France 2%), le secteur de l’industrie manufacturière étant le plus impacté.

Conclusion

Même si FormBook n’est pas unique ni en termes de fonctionnalités ni en termes de mécanismes de distribution, sa relative simplicité d’utilisation, son coût modique et son accès en vente libre fait de lui une option attractive pour des cyber-criminels de différents niveaux de compétence. Au cours des dernières semaines, FormBook a été observé téléchargeant d’autres familles de malwares telles que NanoCore. Les données et autres informations récoltées via des infections réussies de FormBook peuvent potentiellement être utilisées pour d’autres activités cyber criminelles comprenant, mais non limitées à : des usurpations d’identités, des opérations récurrentes d’hameçonnage, des fraudes bancaires et de l’extorsion de fonds.


Voir les articles précédents

    

Voir les articles suivants