Malware do FormBook

O malware FormBook (também conhecido como xLoader) é classificado como um stealer (spyware) e, como o próprio nome indica, é conhecido por suas técnicas de captura de formulários para extrair dados diretamente de formulários HTML de sites, bem como por sua capacidade de roubar dados de pressionamentos de teclas, recursos de preenchimento automático do navegador e pranchetas de copiar e colar. Essas técnicas permitem que o FormBook capture efetivamente dados não digitados explicitamente, inclusive números de cartão de crédito e tokens de autenticação multifator, diretamente de um navegador.

O FormBook também é classificado como Malware como Serviço (MaaS) porque é vendido pré-compilado e pronto para ser usado em um ataque cibernético. A plataforma MaaS do FormBook fornece aos invasores acesso a uma interface de comando e controle (C2) on-line para controlar remotamente sistemas comprometidos e coletar dados roubados. O pacote de malware e serviços é vendido em fóruns da Dark Web com preços que variam de US$ 29 para uma licença de uma semana a US$ 299 para uma licença completa "Pro". 

O FormBook pode roubar dados de mais de 90 aplicativos de software diferentes, incluindo todos os principais navegadores e uma longa lista de navegadores menos populares, clientes de e-mail e aplicativos de mensagens, ferramentas de gerenciamento de arquivos, incluindo o Windows Explorer e o Total Commander, e uma lista exaustiva de clientes FTP. Em 2020, surgiu uma nova variante multiplataforma do FormBook, chamada xLoader, programada em Java e capaz de roubar dados de dispositivos que executam os sistemas operacionais Windows ou macOS. 

O FormBook pode ser distribuído por meio de várias táticas de primeiro estágio que dependem muito do agente de ameaça individual que o distribui. Ainda assim, sua configuração padrão usa um Roshal Archive (RAR) de extração automática para infectar alvos por meio de um script AutoIt incorporado.

Após a execução, o FormBook realiza uma ampla vigilância no sistema comprometido, seguida de um curso de ação dinâmico, dependendo do nível de permissões do sistema e da detecção de ferramentas de depuração e produtos de segurança que indicariam um ambiente de análise de malware. 

O FormBook oculta ainda mais sua atividade ofuscando strings codificadas em sua carga útil. Os caminhos codificados e os nomes de funções são divididos em pequenos conjuntos de caracteres e concatenados em tempo de execução ou, de outra forma, embaralhados e decodificados imediatamente antes da execução. O FormBook também importa módulos de DLL (Dynamic Link Library) em tempo de execução, mapeando manualmente todos os nomes de módulos disponíveis e comparando-os com hashes CRC32 BZip2 codificados na carga útil para evitar o uso de strings em texto claro que possam revelar suas intenções.

Para manter a persistência em um sistema infectado, o FormBook instala seus arquivos em um diretório nomeado aleatoriamente, altera frequentemente o caminho, o nome do arquivo e a extensão do arquivo e alterna as chaves de registro do Windows AutoLoad. O FormBook também vem pré-instalado com muitos nomes de domínio C2, o que permite a troca se um servidor C2 for identificado e bloqueado. 

O método mais potente de evasão de detecção do FormBook, no entanto, é uma técnica conhecida como process hollowing. Essa técnica permite que o FormBook gere um novo processo a partir de um aplicativo legítimo do Windows, de modo que possa se disfarçar como um processo legítimo e enganar os produtos de segurança que fazem a varredura de processos nocivos.

O Xloader, uma variante do FormBook, foi projetado especialmente para infectar o macOS da Apple, mas sua taxa de sucesso é baixa por dois motivos:

1. O MacOS não vem pré-instalado com o Java Runtime Environment (JRE)
2. Seus mecanismos de segurança integrados avisam os usuários quando o software não é assinado digitalmente pelo autor e os usuários devem autorizar explicitamente o software que foi baixado da Internet.

Embora o FormBook roube dados salvos de um grande número de aplicativos, o FormBook também pode infectar navegadores, dando ao malware acesso direto ao modelo de documento-objeto (DOM) de qualquer página da Web carregada pelo navegador infectado. Esse método de infecção permite que o FormBook extraia dados diretamente de formulários de páginas da Web imediatamente quando o DOM é modificado, mesmo que o próprio usuário não digite a senha.

A prevenção de um ataque do FormBook depende principalmente do treinamento de conscientização do usuário, que pode preparar a equipe para identificar arquivos potencialmente mal-intencionados e fornecer procedimentos operacionais padrão (SOP) para lidar com eles. No entanto, as organizações devem implementar uma gama completa de medidas de segurança defensiva não apenas para evitar a ocorrência de um ataque ao FormBook, mas também para minimizar os possíveis danos de um ataque e detectar e recuperar rapidamente caso ocorra. 

Uma lista mais abrangente de táticas defensivas que podem evitar um ataque bem-sucedido do FormBook inclui:

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos, e configure clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização.
• Reconhecer o risco maior que os arquivos criptografados apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
• Verifique se os aplicativos do Office estão configurados com as definições Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente
• Instale e configure produtos de segurança de endpoint que examinem documentos criptografados imediatamente após serem descriptografados, detectem indicadores de comprometimento (IOCs) e tomem medidas defensivas para impedir a execução de arquivos mal-intencionados
• Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos 
• Manter assinaturas e mecanismos antivírus atualizados em todos os produtos de segurança
• Garanta que somente software autorizado e assinado digitalmente seja instalado em todos os endpoints; faça varreduras regulares para detectar e bloquear a execução de qualquer software não autorizado.
• Aumente a visibilidade dos sistemas dos funcionários remotos com produtos de segurança de endpoint que oferecem atestado remoto
• Use o princípio do menor privilégio ao arquitetar redes para evitar adicionar usuários ao grupo de administradores locais, a menos que seja necessário
• Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso do usuário a sites suspeitos ou de risco