一支早在2016年就被發現,會竊取用戶Windows電腦中各種帳號密碼的惡意軟體FormBook,最近被資安研究人員發現再次透過免費檔案空間活躍;目前北美地區已有眾多受害者。
攻擊手法
FormBook 的典型攻擊手法,是透過詐騙郵件進行。用戶點開了詐騙郵件中含有惡意指令的 RTF 或 PDF 檔後,該惡意指令便會利用 Office 的指令執行漏洞(CVE-2012-0158 與 CVE-2017-11882) ,從一個才開站一周,叫做 DropMyBin 的檔案下載服務中下載 FormBook,並安裝於用戶的 Windows 系統中,成為開機自動背景執行的軟體。
一旦 FormBook 成功安裝並開始執行,就會盡可能竊取用戶電腦中的各種帳號密碼,例如瀏覽器、Email 和 FTP 軟體記錄的登入資訊,同時還會記錄並傳送用戶的按鍵動作,甚至還會偷拍用戶畫面截圖,將資料上傳至其伺服器。
資安廠商 DeepInstinct 完整描述了該惡意軟體的運作流程與特徵碼。
資料來源:
