FormBook 活动的工作流程图 图片来源: FortiGuard Labs
Fortinet 公司的 FortiGuard Labs 发现了一场新的网络钓鱼活动,该活动传播 FormBook 信息窃取恶意软件,通过欺骗性电子邮件和经过恶意改造的 Word 文档来攻击 Windows 系统用户。攻击者将社会工程学手段与微软的一个旧版漏洞(CVE-2017-11882)以及先进的规避检测技术相结合,传播了一种无文件形式的 FormBook 恶意软件,而 FormBook 是目前在野外活动中最为猖獗的信息窃取软件之一。
攻击链始于一封伪装成销售订单的网络钓鱼电子邮件。据 Fortinet 公司称,这封电子邮件催促收件人打开一个名为 order0087.docx 的附件 Word 文档。
报告指出:“这场网络钓鱼活动以一封伪装成销售订单的电子邮件开始,它催促收件人打开所附的 Word 文档。”
一旦打开该文档,它就会利用 altChunk 功能自动加载一个名为 Algeria.rtf 的嵌入式富文本格式(RTF)文件,从而启动恶意程序序列。
Algeria.rtf 文件经过了高度混淆处理,但其中包含了一个利用 CVE-2017-11882 漏洞的有效载荷,该漏洞是 Microsoft Equation Editor 3.0 中的一个远程代码执行漏洞。
研究人员写道:“这利用了 CVE-2017-11882 漏洞,导致缓冲区溢出,并最终执行命令‘CmD.exe/C rundll32 % tmp%\AdobeID.pdf,IEX A’。”
攻击的结果是执行了一个名为 AdobeID.pdf 的 64 位动态链接库(DLL)文件,该文件被解压到临时文件夹并通过 rundll32.exe 执行。
AdobeID.pdf 这个 DLL 文件可不只是一个释放器 —— 它是一个多功能组件,能够实现持久化驻留、下载真正的 FormBook 有效载荷,并完全在内存中执行。
它通过一个注册表项实现持久化驻留:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtkAudUService。有效载荷是从一个伪装成 PNG 格式的文件中获取的:hxxps://www2 [.] 0zz0 [.] com/2025/02/02/10/709869215.png。
尽管该文件的扩展名为.png,但 Fortinet 公司证实它是经过加密的。报告详细说明:“然后恶意软件调用一个函数,将这个 PNG 文件解密成 FormBook 可执行二进制文件。” 它使用一个硬编码字符串(H1OX2WsqMLPKvGkQ)作为解密密钥。
一旦解密完成,FormBook 就会通过进程空洞技术被注入到一个合法的 Windows 进程 ——ImagingDevices.exe 中。这种技术使得恶意软件能够躲避传统杀毒软件的检测,因为它不会将任何恶意文件写入磁盘。
恶意软件会创建目标进程的一个暂停实例,使用 NtMapViewOfSection () 函数用 FormBook 的有效载荷替换其内存,然后通过 Wow64SetThreadContext () 和 NtResumeThread () 函数操作线程上下文来恢复进程的执行。
Fortinet 公司补充道:“FormBook 的基地址是 0x6E0000,并且会调用 RtlUserThreadStart () 应用程序编程接口(API),以便在新创建的线程中运行 FormBook 的有效载荷。”
相关机构敦促企业对旧版软件进行补丁更新,禁用像公式编辑器这样的旧版组件,并对用户进行有关网络钓鱼威胁的教育。
发表评论
您还未登录,请先登录。
登录