FormBook/XLoader: il malware a 59$ per macOS e Windows.

Aggiornato il: 5 giorni fa


Prima versione messa in vendita di FormBook, del 2016

Formbook è attualmente uno dei malware più diffusi. È attivo da più di 5 anni e ha colpito il 4% delle organizzazioni in tutto il mondo ed è arrivato nella top 3 dei malware più diffusi.


Secondo AnyRun Malware Trends Tracker, Formbook occupa il 4 ° posto nell'elenco delle famiglie di malware più diffuse nel 2020.



Check Point Research (CPR) ha riportato di recente che il malware "XLoader" (che condivide lo stesso codice di Formbook), risulta attivo dal 2020 ed è disponibile nei forum underground a prezzi molto convenienti.


Si parla di 59 dollari a settimana su base abbonamento per un mese.

  • Windows, eseguibile, 1 mese $ 59

  • Windows, eseguibile, 3 mesi $ 129

  • macOS, Mach-O, 1 mese $ 49

  • macOS, Mach-O, 3 mesi $ 99

Siamo ovviamente in logica SaaS, ma diciamo il termine giusto: MaaS (Malware ad a Service), ovvero l'affitto di un codice malevolo a chi non è esperto nella produzione di RAT, Spyware, ecc...


Come affermato dal suo autore, Formbook doveva essere "un semplice keylogger". Tuttavia, i clienti hanno immediatamente visto il suo potenziale come strumento universale da utilizzare in ampie campagne di spam che prendono di mira le organizzazioni di tutto il mondo.



Il software ha come primo vettore di attacco il phishing, in cui le e-mail contraffatte contengono allegati dannosi come documenti di Microsoft Office, carichi di malware.


Questo malware è stato ritirato dalla vendita circa quattro anni fa dal suo sviluppatore, noto come ng-Coder, e poi non è più riapparso fino al 2020, quando è comparso come XLoader.


La cronologia delle attività di entrambe le versioni del malware.

Il malware ha un'ampia configurazione di sistemi di comando e controllo (C2), dove utilizza quasi 90.000 domini di comunicazione di rete, ma solo 1.300 sono veri e propri C2.


CPR ha analizzato il malware negli ultimi sei mesi. I ricercatori hanno trovato la stessa base di codice di XLoader all'interno di Formbook, dove lo sviluppatore ng-Coder, ha implementato modifiche sostanziali, incluse nuove funzionalità per compromettere i sistemi macOS.



ng-Coder si è unito al forum di hacking underground il 27 ottobre 2015. Secondo la sua stessa dichiarazione sul forum, dove all'inizio vendeva exploit. CPR non può comprendere ad oggi l'esatto paese di origine di ng-Coder, ma a giudicare dal modo di scrivere, l'inglese probabilmente non è la sua lingua madre.


Ciò che ha attirato la nostra attenzione di CPR, è una strana descrizione che include la frase "Balloon Executable" e gli acronimi MPIE e MEE. Questi termini, che non esistono nella comunità cibernetica, sono stati utilizzati da ng-Coder per descrivere il funzionamento di Formbook, ovvero utilizza un codice indipendente dalla posizione (shellcode) per iniettare il malware in un processo di sistema legittimo e avviare l'esecuzione dello shellcode.


Fonte

https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/