Ένα νέο κύμα επιθέσεων κακόβουλου λογισμικού Formbook εμφανίστηκε, χρησιμοποιώντας οπλισμένα αρχεία ZIP και πολλαπλά επίπεδα σεναρίων για να παρακάμψουν τους ελέγχους ασφαλείας.
Οι επιθέσεις ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν αρχεία ZIP που περιέχουν σενάρια VBS μεταμφιεσμένα ως έγγραφα επιβεβαίωσης πληρωμής.
Αυτά τα σενάρια ενεργοποιούν μια αλυσίδα συμβάντων που κατεβάζει και εγκαθιστά το κακόβουλο λογισμικό σε συστήματα θυμάτων. Η προσέγγιση πολλών σταδίων καθιστά τον εντοπισμό πιο δύσκολο τόσο για τα εργαλεία ασφαλείας όσο και για τους αναλυτές.
Η επίθεση ξεκινά όταν τα θύματα λαμβάνουν email με συνημμένα αρχεία ZIP. Μέσα σε αυτά τα αρχεία βρίσκεται ένα αρχείο VBS με ονόματα όπως “Payment_confirmation_copy_30K__20251211093749.vbs” που μοιάζει με επιχειρηματικό έγγραφο.
Όταν ανοίξει, αυτό το σενάριο VBS ξεκινά μια προσεκτικά σχεδιασμένη διαδικασία μόλυνσης. Το κακόβουλο λογισμικό χρησιμοποιεί πολλές γλώσσες δέσμης ενεργειών, συμπεριλαμβανομένων των VBS, PowerShell και τελικά εκτελέσιμα αρχεία, για να επιτύχει τον τελικό του στόχο να εγκαταστήσει το Formbook στο μηχάνημα-στόχο.
Ερευνητές ασφαλείας του Internet Storm Center αναγνωρισθείς αυτή την καμπάνια και διαπίστωσε ότι μόνο 17 από τα 65 προγράμματα προστασίας από ιούς εντόπισαν το αρχικό αρχείο VBS.
Το χαμηλό ποσοστό ανίχνευσης δείχνει πόσο αποτελεσματικές είναι οι τεχνικές συσκότισης. Οι συντάκτες κακόβουλου λογισμικού σχεδίασαν κάθε στάδιο για να αποφύγουν κοινούς ελέγχους ασφαλείας και να κάνουν την ανάλυση πιο δύσκολη για τις ομάδες ασφαλείας.
Μηχανισμός μόλυνσης πολλαπλών σταδίων
Το σενάριο VBS χρησιμοποιεί πολλά κόλπα για να κρύψει τον πραγματικό του σκοπό. Πρώτον, δημιουργεί έναν βρόχο καθυστέρησης που περιμένει 9 δευτερόλεπτα πριν κάνει οτιδήποτε επιβλαβές.
Αυτό το απλό τέχνασμα βοηθά στην αποφυγή εντοπισμού από συστήματα sandbox που αναζητούν άμεσες ύποπτες ενέργειες:
Dim Hump
Hump = DateAdd("s", 9, Now())
Do Until (Now() > Hump)
Wscript.Sleep 100
Frozen = Frozen + 1
LoopΣτη συνέχεια, το σενάριο δημιουργεί μια εντολή PowerShell ενώνοντας πολλά μικρά κομμάτια κειμένου μεταξύ τους. Η ίδια η λέξη “PowerShell” είναι κρυμμένη χρησιμοποιώντας κωδικούς αριθμούς αντί για απλό κείμενο. Μετά τη δημιουργία του σεναρίου PowerShell, το αρχείο VBS το εκτελεί χρησιμοποιώντας ένα αντικείμενο Shell.Application.
Αυτό το σενάριο PowerShell κατεβάζει ένα άλλο ωφέλιμο φορτίο από το Google Drive και το αποθηκεύει στο φάκελο AppData του χρήστη. Το τελευταίο βήμα εκκινεί το msiexec.exe και εισάγει το κακόβουλο λογισμικό Formbook σε αυτό.
Στη συνέχεια, το κακόβουλο λογισμικό συνδέεται με τον διακομιστή εντολών του στο 216.250.252.227 στη θύρα 7719 για να λάβει οδηγίες.
