Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

L’infostealer FormBook viene diffuso attraverso le campagna di ADS di Google

Redazione RHC : 10 Febbraio 2023 07:05

I ricercatori di sicurezza informatica di SentinelLabs riferiscono che una campagna in corso utilizza gli annunci Google per distribuire programmi di installazione di malware che utilizzano la tecnologia di virtualizzazione KoiVM per evitare il rilevamento quando viene installato l’infostealer FormBook.

KoiVM è un plugin per la protezione ConfuserEx che offusca i codici operativi di un programma in modo che solo la macchina virtuale li capisca. La VM traduce quindi i codici operativi dei programmi nella loro forma originale all’avvio in modo che l’applicazione possa essere eseguita. 

Se utilizzata in modo dannoso, la virtualizzazione complica l’analisi del malware e consente inoltre di aggirare i meccanismi dell’analisi statica.

Supporta Red Hot Cyber attraverso

Nella campagna pubblicitaria di Google scoperta, l’attaccante promuove l’infostealer FormBook sotto forma di loader .NET virtualizzati chiamati “MalVirt” che aiutano a distribuire il payload finale senza attivare avvisi antivirus

Allo stesso tempo, la pubblicità impersona il programma Blender 3D.

I downloader utilizzano firme digitali non valide che impersonano Microsoft, Acer, DigiCert, Sectigo e AVG Technologies USA. Sebbene Windows non accetterà queste firme come valide, i caricatori di MalVirt contengono funzionalità per evitare il rilevamento.

Notevole è il modo in cui il FormBook maschera il suo vero traffico C2 e gli indirizzi IP.

L’infostealer crea una nube fitta di richieste HTTP innocue in cui nasconde il suo traffico principale. Il contenuto delle richieste HTTP è crittografato e codificato in modo da non essere evidenziato. Il malware interagisce con questi indirizzi IP in modo casuale, scegliendoli da un elenco codificato di domini ospitati da varie società.

Nei campioni analizzati, il FormBook ha interagito con 17 domini, solo uno dei quali era l’effettivo server C2, mentre il resto fungeva da semplice honeypot per confondere gli strumenti di monitoraggio del traffico di rete.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009