Llegamos a ustedes gracias a:



Alertas de Seguridad

FireEye alerta de campañas de distribución de FormBook

Que impactan a Estados Unidos y Corea del Sur

[19/10/2017] FireEye anunció que ha observado varias campañas de distribución de alto volumen del malware FormBook atacando primordialmente los sectores aeroespacial, contratistas de defensa y manufactura, dentro de Estados Unidos y Corea del Sur durante los últimos meses. Los atacantes involucrados en estas campañas de correos aprovechan una variedad de mecanismos de distribución para entregar la información robada por el malware FormBook, incluyendo: PDFs con enlaces de descarga, archivos DOC y XLS con macros maliciosas, y archivos ZIP, RAR, ACE e ISO que contienen cargas EXE.

Las campañas de PDF y DOC/XLS impactan principalmente Estados Unidos y las campañas de archivos han impactado Estados Unidos y Corea del Sur.

FormBook es un ladrón de datos y capturador de formas que ha sido anunciado en varios foros de hackers desde comienzos del 2016.

"El malware se inyecta en varios procesos e instala anzuelos de funciones para registrar las pulsaciones de teclado, robar contenidos del portapapeles y extraer datos de las sesiones HTTP. El malware puede también ejecutar comandos de un servidor de comando y control (C2), los comandos incluyen instruir al malware para descargar y ejecutar archivos, comenzar procesos, apagar y reiniciar el sistema y robar cookies y passwords locales, comentó Robert Freeman, vicepresidente para Latinoamérica.

Añadió que cuenta también con un método de persistencia que cambio al azar la ruta, nombre del archivo, extensión del archivo y la clave de registro usada para la persistencia.

"El autor del malware no vende el constructor sino solamente el panel y luego genera los archivos ejecutables como un servicio, agregó Freeman.

Los investigadores de FireEye han observado que FormBook se distribuye vía campañas de email usando una gran variedad de adjuntos diferentes: PDFs con enlaces al servicio de abreviación de URLs "tny.im, que luego redirecciona a un servidor de montaje que contiene las cargas ejecutables de FormBook; adjuntos DOC y XLS que contienen macros maliciosas que, cuando se activan, inician la descarga de las cargas de FormBook; y adjuntos ZIP, RAR, ACE e ISO que contienen archivos ejecutables de FormBook.

"Mientras que FormBook no es único tanto en su funcionalidad como en sus mecanismos de distribución, es relativamente fácil de usar, tiene una estructura de precios razonables y disponibilidad abierta, lo que lo hace una atractiva opción para cibercriminales de varios niveles de habilidad. En las últimas semanas, FormBook fue visto descargando otras familias de malware como NanoCore. Las credenciales y otros datos cosechados de infecciones exitosas de FormBook pueden ser usadas para actividades adicionales de ciber crimen, incluyendo, pero no limitado a: robo de identidad, operaciones continuas de phishing, fraude bancario y extorsión, finalizó Freeman.