Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 21 Luglio 2021 15:09
Prima versione messa in vendita di FormBook, del 2016
Formbook è attualmente uno dei malware più diffusi. È attivo da più di 5 anni e ha colpito il 4% delle organizzazioni in tutto il mondo ed è arrivato nella top 3 dei malware più diffusi.
Secondo AnyRun Malware Trends Tracker, Formbook occupa il 4 ° posto nell’elenco delle famiglie di malware più diffuse nel 2020.
Check Point Research (CPR) ha riportato di recente che il malware “XLoader” (che condivide lo stesso codice di Formbook), risulta attivo dal 2020 ed è disponibile nei forum underground a prezzi molto convenienti.
Si parla di 59 dollari a settimana su base abbonamento per un mese.
Siamo ovviamente in logica SaaS, ma diciamo il termine giusto: MaaS (Malware ad a Service), ovvero l’affitto di un codice malevolo a chi non è esperto nella produzione di RAT, Spyware, ecc…
Come affermato dal suo autore, Formbook doveva essere “un semplice keylogger”. Tuttavia, i clienti hanno immediatamente visto il suo potenziale come strumento universale da utilizzare in ampie campagne di spam che prendono di mira le organizzazioni di tutto il mondo.
Il software ha come primo vettore di attacco il phishing, in cui le e-mail contraffatte contengono allegati dannosi come documenti di Microsoft Office, carichi di malware.
Questo malware è stato ritirato dalla vendita circa quattro anni fa dal suo sviluppatore, noto come ng-Coder, e poi non è più riapparso fino al 2020, quando è comparso come XLoader.
La cronologia delle attività di entrambe le versioni del malware.
Il malware ha un’ampia configurazione di sistemi di comando e controllo (C2), dove utilizza quasi 90.000 domini di comunicazione di rete, ma solo 1.300 sono veri e propri C2.
CPR ha analizzato il malware negli ultimi sei mesi. I ricercatori hanno trovato la stessa base di codice di XLoader all’interno di Formbook, dove lo sviluppatore ng-Coder, ha implementato modifiche sostanziali, incluse nuove funzionalità per compromettere i sistemi macOS.
ng-Coder si è unito al forum di hacking underground il 27 ottobre 2015. Secondo la sua stessa dichiarazione sul forum, dove all’inizio vendeva exploit. CPR non può comprendere ad oggi l’esatto paese di origine di ng-Coder, ma a giudicare dal modo di scrivere, l’inglese probabilmente non è la sua lingua madre.
Ciò che ha attirato la nostra attenzione di CPR, è una strana descrizione che include la frase “Balloon Executable” e gli acronimi MPIE e MEE. Questi termini, che non esistono nella comunità cibernetica, sono stati utilizzati da ng-Coder per descrivere il funzionamento di Formbook, ovvero utilizza un codice indipendente dalla posizione (shellcode) per iniettare il malware in un processo di sistema legittimo e avviare l’esecuzione dello shellcode.
Fonte
RedazioneQuanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
Il mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
