مهاجمان بدافزار جدیدی به نام فرم بوک را گسترش می دهند که شرکت های هوا و فضا، پیمان کاران وزارت دفاع و بخش های تولیدی آمریکا و کره جنوبی را هدف قرار می دهد. طبق گفته ی محققان فایرآی، در چندین پویش توزیع سطح بالا دیده شده است که این بدافزار با ایمیل های حاوی پی دی اف، DOC و XLS آمریکا را هدف قرار می دهد. اهداف فرم بوک در کره جنوبی توسط ایمیل های حاوی فایل های بایگانی همراه با بارداده ی قابلاجرا مورد حمله قرار گرفته اند.
طبق گزارش فایرآی، فرمبوک یک بدافزار سرقت داده است که برای عملیات جاسوسی و ثبت کلیدهای فشرده شده، سرقت محتوای حافظهی موقت و استخراج دادهها از بخشهای HTTP استفاده میکند. زمانیکه این بدافزار نصب شد، میتواند دستوراتی مانند دانلود فایلهای بیشتر توسط بدافزار، آغاز فرآیندها، خاموش کردن و راهاندازی مجدد یک سیستم و سرقت کوکیها و پسوردهای محلی را از طرف سرور دستور و کنترل اجرا کند.
بر اساس گزارش فایرآی، یکی از جالبترین ویژگیهای این بدافزار این است که ماژول ntdll.dll را از دیسک میخواند و در حافظه قرار میدهد و به طور مستقیم توابع صادر شده از آن را فراخوانی میکند، وقفههای حالت کاربر را تفسیر کرده و سازوکارهای نظارت بر واسطهای برنامهنویسی را بیاثر میکند. در یک سناریو که توسط فایرآی توصیف شد، بار دادهی فرمبوک توسط فایل RAR که خود را استخراج میکند تحویل داده شد که وقتی راهاندازی شد یک دانلودکنندهی AutoIt را آغاز کرد که به نوبهی خود یک اسکریپت AutoIt را کامپایل و اجرا میکند.
محققان میگویند: «در حالیکه فرمبوک نه در عملکرد و نه در سازوکار توزیع منحصربهفرد نیست، سهولت استفاده از آن، ساختار قیمتگذاری مقرون به صرفه و دسترسی آزاد به آن، این بدافزار را به یک انتخاب خوب برای مجرمان سایبری در تمام سطوح تبدیل کرده است.» محققان میگویند، فرمبوک از ژوئیه در انجمنهای زیرزمینی نفوذ، با قیمت ۲۹ دلار عرضه شد و در یک هفته بستهی کامل آن به قیمت ۲۹۹ دلار معامله شد. شرایط نویسندهی این بدافزار اینگونه است که مشتریان برای دسترس به پنل، هزینهای پراخت میکنند سپس نویسندهی بدافزار به عنوان سرویس، فایلهای قابل اجرا را تولید میکند.
به گفتهی فایرآی، به عنوان زیرساختهای پشتیبان، دامنههای دستور و کنترل فرمبوک کمتر گسترده و عموما دامنههای سطح بالای جدید مانند .site، .website، .tech، .online و .info هستند. زیرساخت سرور در BlazingFast.io میزبانی میشود که یک ارائهدهندهی میزبانی اوکراینی است. هر سروری معمولا دارای موقعیت مکانی پنل فرمبوک چندگانه است که میتواند نشاندهندهی یک مدل وابسته باشد.
فایرآی میگوید: «این بدافزار بسته بر فرآیند هدف، توابع سرقتکنندهی متفاوتی را نصب میکند. بعضی از این فرآیندها عبارتاند از: iexplore.exe، firefox.exe، chrome.exe، MicrosoftEdgeCP.exe و explorer.exe. بیش از ۳۲ فرآیند هدف قرار گرفته است. پس از تزریق بدافزار در هر یک از فرآیندهای هدف، بسته به آن فرآیند، فرمبوک واسطهای برنامهنویسی حالت کاربر را تنظیم میکند.»
به گفتهی محققان، این بدافزار همچنین از یک روش مداوم استفاده میکند تا به طور تصادفی مسیر، پسوندهای فایلها و کلید ثبت مورد استفاده برای ماندگاری را تغییر دهد.
فایرآی دو پویش ایمیلی متمایز را بین ۱۱ آگوست و ۲۲ آگوست و پویشهای بیشتری را بین ۱۸ ژوئیه و ۱۷ آگوست کشف کرد. در یکی از پویشهای پیدیاف، نفوذگران حوزههای تحویل بسته و مراکز خرید DHL و FedEx را به کار برده بودند.
محققان میگویند، پیدیافها حاوی لینکهایی به سرویس کوتاهکندهی URL «tny.im» بودند که سپس به سرورهای موقت هدایت میشدند که بار دادهی قابلاجرای فرمبوک را داشتند. پویشهایی که ضمیمههای DOC و XLS را به کار میبردند اغلب دارای ماکروهای مخرب بودند که هنگام فعال بودن شروع به دانلود بار دادهی فرمبوک میکردند. در نمونههای دیگر، رایانامهها دارای ضمیمههای ZIP، RAR، ACE و ISO و همچنین فایلهای قابلاجرای فرمبوک بودند.
محققان گفتند: «در چند هفتهی گذشته، مشاهده شد که فرمبوک خانوادههای دیگر بدافزار مانند NanoCore را نیز دانلود میکند. گواهینامهها و دیگر دادههایی که با موفقیت توسط فرمبوک به سرقت رفتهاند میتوانند برای فعالیتهای جرایم سایبری بیشتری مانند سرقت هویت، عملیات فیشینگ مداوم، تقلب و اخاذیهای بانکی مورد استفاده قرار بگیرند.»