L’infostealer FormBook viene diffuso attraverso le campagna di ADS di Google

I ricercatori di sicurezza informatica di SentinelLabs riferiscono che una campagna in corso utilizza gli annunci Google per distribuire programmi di installazione di malware che utilizzano la tecnologia di virtualizzazione KoiVM per evitare il rilevamento quando viene installato l’infostealer FormBook.

KoiVM è un plugin per la protezione ConfuserEx che offusca i codici operativi di un programma in modo che solo la macchina virtuale li capisca. La VM traduce quindi i codici operativi dei programmi nella loro forma originale all’avvio in modo che l’applicazione possa essere eseguita. 

Se utilizzata in modo dannoso, la virtualizzazione complica l’analisi del malware e consente inoltre di aggirare i meccanismi dell’analisi statica.

Nella campagna pubblicitaria di Google scoperta, l’attaccante promuove l’infostealer FormBook sotto forma di loader .NET virtualizzati chiamati “MalVirt” che aiutano a distribuire il payload finale senza attivare avvisi antivirus. 

Allo stesso tempo, la pubblicità impersona il programma Blender 3D.

I downloader utilizzano firme digitali non valide che impersonano Microsoft, Acer, DigiCert, Sectigo e AVG Technologies USA. Sebbene Windows non accetterà queste firme come valide, i caricatori di MalVirt contengono funzionalità per evitare il rilevamento.

Notevole è il modo in cui il FormBook maschera il suo vero traffico C2 e gli indirizzi IP.

L’infostealer crea una nube fitta di richieste HTTP innocue in cui nasconde il suo traffico principale. Il contenuto delle richieste HTTP è crittografato e codificato in modo da non essere evidenziato. Il malware interagisce con questi indirizzi IP in modo casuale, scegliendoli da un elenco codificato di domini ospitati da varie società.

Nei campioni analizzati, il FormBook ha interagito con 17 domini, solo uno dei quali era l’effettivo server C2, mentre il resto fungeva da semplice honeypot per confondere gli strumenti di monitoraggio del traffico di rete.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore