Redazione RHC : 23 Aprile 2025 15:25
Una recente analisi condotta dai FortiGuard Labs di Fortinet ha rivelato una sofisticata campagna di phishing volta a diffondere una nuova variante del malware FormBook, un infostealer noto per la sua capacità di sottrarre dati sensibili dai dispositivi compromessi. La campagna sfrutta la vulnerabilità CVE-2017-11882 presente nei documenti Microsoft Word per infettare i sistemi degli utenti
Il vettore iniziale dell’attacco è un’email di phishing che simula un ordine di vendita, contenente un documento Word denominato “order0087.docx”. Questo file, salvato in formato Office Open XML (OOXML), include un riferimento a un file esterno “Algeria.rtf” attraverso il nodo “
Quando l’utente apre il documento, Word carica automaticamente il file RTF esterno, avviando il processo di infezione.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il file RTF “Algeria.rtf” è offuscato con dati inutili per eludere le analisi statiche. Una volta de-offuscato, rivela due oggetti binari incorporati. Il primo è un file DLL a 64 bit denominato “AdobeID.pdf”, che viene estratto nella cartella temporanea del sistema. Il secondo è un oggetto OLE che contiene dati appositamente creati per sfruttare la vulnerabilità CVE-2017-11882 nel Microsoft Equation Editor 3.0.
Questa vulnerabilità consente l’esecuzione di codice arbitrario quando Word elabora il file RTF, portando all’esecuzione del file DLL malevolo.
Il file DLL “AdobeID.pdf” funge da downloader e installatore per il malware FormBook. Una volta eseguito, stabilisce la persistenza nel sistema aggiungendo una chiave nel registro di Windows sotto “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“, assicurando l’esecuzione automatica del malware ad ogni avvio del sistema.
Successivamente, il malware si inietta in processi legittimi di Windows, come “explorer.exe”, per eseguire le sue attività dannose senza destare sospetti.
FormBook è progettato per sottrarre informazioni sensibili, tra cui credenziali memorizzate, sequenze di tasti, screenshot e dati dagli appunti. Inoltre, può ricevere comandi da un server di controllo (C2) per eseguire ulteriori azioni dannose sul dispositivo infetto.
La sua capacità di iniettarsi in processi legittimi e di comunicare con server remoti lo rende particolarmente insidioso e difficile da rilevare
Per proteggersi da minacce come FormBook, è fondamentale mantenere aggiornati tutti i software, in particolare le suite di produttività come Microsoft Office.
Inoltre, è consigliabile implementare soluzioni di sicurezza avanzate che possano rilevare comportamenti anomali e bloccare attività sospette. La formazione degli utenti sull’identificazione di email di phishing e l’adozione di pratiche di navigazione sicura sono altrettanto cruciali per prevenire infezioni da malware.
Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...
Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...
Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006