12/11/2024
formbook
È attualmente in corso una campagna di malspam, scritta in italiano corretto, diffusa su tutto il territorio nazionale, con l’intento di compromettere le vittime con il malware Formbook, noto per le sue capacità di Infostealer.
L’e-mail si presenta come una comunicazione urgente riguardante fatture non pagate e induce le vittime a reagire rapidamente al fine di aprire l’archivio compresso in formato 7Z
riportato in allegato, denominato: Ultimo sollecito per il pagamento di fattura scaduta.7z
. All’interno di questo archivio compresso si trova un file VBS
con lo stesso nome.
Analisi del VBS
Se si analizza il file VBS
, si può notare che è ben strutturato e commentato in ogni sua parte, con nomi di variabili chiari e descrittivi. Questo rende la sua analisi più semplice e consente di comprendere il suo funzionamento e gli obiettivi che intende raggiungere.
Il codice è progettato per decodificare il contenuto della variabile ObfuscatedData
, sostituendo determinati caratteri al fine di ottenere un codice pulito, codificato in Base64
, da cui è possibile estrarre un file EXE
.
Analisi del loader
L’eseguibile così ottenuto è scritto in .NET e, come di solito accade con i loader utilizzati per Formbook, la sua analisi non è particolarmente complessa.
Anche in questo caso l’eseguibile estrae una stringa Base64
cifrata che provvederà poi a decodificare tramite una classe interna AesUtilities
con un metodo statico DecryptData
, che ha proprio lo scopo di decifrare dati crittografati usando un algoritmo di crittografia. Nonostante il nome AesUtilities
, per la decrittazione viene utilizzato l’algoritmo TripleDES invece di AES .
Il file finale generato al termine di questa operazione, destinato a essere eseguito sulla macchina della vittima, è proprio Formbook.
Indicatori di compromissione
Il CERT-AGID ha già condiviso gli IoC attraverso la sue piattaforme per favorirne la loro diffusione.
Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:
Link: Download IoC