بدافزار فرم‌بوک، پیمان‌کاران وزارت دفاع، هوا و فضا و بخش‌های تولیدی آمریکا را هدف قرار داد

 

مهاجمان بدافزار جدیدی به نام فرم بوک را گسترش می دهند که شرکت های هوا و فضا، پیمان کاران وزارت دفاع و بخش های تولیدی آمریکا و کره جنوبی را هدف قرار می دهد. طبق گفته ی محققان فایرآی، در چندین پویش توزیع سطح بالا دیده شده است که این بدافزار با ایمیل های حاوی پی دی اف، DOC و XLS آمریکا را هدف قرار می دهد. اهداف فرم بوک در کره جنوبی توسط ایمیل های حاوی فایل های بایگانی همراه با بارداده ی قابل‌اجرا مورد حمله قرار گرفته اند.


طبق گزارش فایرآی، فرم‌بوک یک بدافزار سرقت داده است که برای عملیات جاسوسی و ثبت کلیدهای فشرده شده، سرقت محتوای حافظه‌ی موقت و استخراج داده‌ها از بخش‌های HTTP استفاده می‌کند. زمانی‌که این بدافزار نصب شد، می‌تواند دستوراتی مانند دانلود فایل‌های بیشتر توسط بدافزار، آغاز فرآیندها، خاموش کردن و راه‌اندازی مجدد یک سیستم و سرقت کوکی‌ها و پسوردهای محلی را از طرف سرور دستور و کنترل اجرا کند.


بر اساس گزارش فایرآی، یکی از جالب‌ترین ویژگی‌های این بدافزار این است که ماژول ntdll.dll را از دیسک می‌خواند و در حافظه قرار می‌دهد و به طور مستقیم توابع صادر شده از آن را فراخوانی می‌کند، وقفه‌های حالت کاربر را تفسیر کرده و سازوکارهای نظارت بر واسط‌های برنامه‌نویسی را بی‌اثر می‌کند. در یک سناریو که توسط فایرآی توصیف شد، بار داده‌ی فرم‌بوک توسط فایل RAR که خود را استخراج می‌کند تحویل داده شد که وقتی راه‌اندازی شد یک دانلودکننده‌ی AutoIt را آغاز کرد که به نوبه‌ی خود یک اسکریپت AutoIt را کامپایل و اجرا می‌کند.


محققان می‌گویند: «در حالی‌که فرم‌بوک نه در عملکرد و نه در سازوکار توزیع منحصربه‌فرد نیست، سهولت استفاده از آن، ساختار قیمت‌گذاری مقرون به صرفه و دسترسی آزاد به آن، این بدافزار را به یک انتخاب خوب برای مجرمان سایبری در تمام سطوح تبدیل کرده است.» محققان می‌گویند، فرم‌بوک از ژوئیه در انجمن‌های زیرزمینی نفوذ، با قیمت ۲۹ دلار عرضه شد و در یک هفته بسته‌ی کامل آن به قیمت ۲۹۹ دلار معامله شد. شرایط نویسنده‌ی این بدافزار این‌گونه است که مشتریان برای دسترس به پنل، هزینه‌ای پراخت می‌کنند سپس نویسنده‌ی بدافزار به عنوان سرویس، فایل‌های قابل اجرا را تولید می‌کند.


به گفته‌ی فایرآی، به عنوان زیرساخت‌های پشتیبان، دامنه‌های دستور و کنترل فرم‌بوک کمتر گسترده و عموما دامنه‌های سطح بالای جدید مانند .site، .website، .tech، .online و .info هستند. زیرساخت سرور در BlazingFast.io میزبانی می‌شود که یک ارائه‌دهنده‌ی میزبانی اوکراینی است. هر سروری معمولا دارای موقعیت مکانی پنل فرم‌بوک چندگانه است که می‌تواند نشان‌دهنده‌ی یک مدل وابسته باشد.


فایرآی می‌گوید: «این بدافزار بسته بر فرآیند هدف، توابع سرقت‌کننده‌ی متفاوتی را نصب می‌کند. بعضی از این فرآیندها عبارت‌اند از: iexplore.exe، firefox.exe، chrome.exe، MicrosoftEdgeCP.exe و explorer.exe. بیش از ۳۲ فرآیند هدف قرار گرفته‌ است. پس از تزریق بدافزار در هر یک از فرآیندهای هدف، بسته به آن فرآیند، فرم‌بوک واسط‌های برنامه‌نویسی حالت کاربر را تنظیم می‌کند.»


به گفته‌ی محققان، این بدافزار همچنین از یک روش مداوم استفاده می‌کند تا به طور تصادفی مسیر، پسوند‌های فایل‌ها و کلید ثبت مورد استفاده برای ماندگاری را تغییر دهد.
فایرآی دو پویش ایمیلی متمایز را بین ۱۱ آگوست و ۲۲ آگوست و پویش‌های بیشتری را بین ۱۸ ژوئیه و ۱۷ آگوست کشف کرد. در یکی از پویش‌های پی‌دی‌اف، نفوذگران حوزه‌های تحویل بسته و مراکز خرید DHL و FedEx را به کار برده بودند.


محققان می‌گویند، پی‌دی‌اف‌ها حاوی لینک‌هایی به سرویس کوتاه‌کنده‌ی URL «tny.im» بودند که سپس به سرورهای موقت هدایت می‌شدند که بار داده‌ی قابل‌اجرای فرم‌بوک را داشتند. پویش‌هایی که ضمیمه‌های DOC و XLS را به کار می‌بردند اغلب دارای ماکروهای مخرب بودند که هنگام فعال بودن شروع به دانلود بار داده‌ی فرم‌بوک می‌کردند. در نمونه‌های دیگر، رایانامه‌ها دارای ضمیمه‌های ZIP، RAR، ACE و ISO و همچنین فایل‌های قابل‌اجرای فرم‌بوک بودند.


محققان گفتند: «در چند هفته‌ی گذشته، مشاهده شد که فرم‌بوک خانواده‌های دیگر بدافزار مانند NanoCore را نیز دانلود می‌کند. گواهی‌نامه‌ها و دیگر داده‌هایی که با موفقیت توسط فرم‌بوک به سرقت رفته‌ا‌ند می‌توانند برای فعالیت‌های جرایم سایبری بیشتری مانند سرقت هویت، عملیات فیشینگ مداوم، تقلب و اخاذی‌های بانکی مورد استفاده قرار بگیرند.»

 

منبع

پست‌های مشابه

Leave a Comment