FormBookマルウェア

FormBookマルウェア(AKA xLoader)は、ステーラー(スパイウェア)に分類され、その名前が示すように、ウェブサイトのHTMLフォームから直接データを抽出するフォームグラビング技術や、キー入力、ブラウザの自動入力機能、コピー＆ペーストのクリップボードからデータを盗む能力で知られています。これらの技術により、FormBookはクレジットカード番号や多要素認証トークンなど、明示的に入力されたものではないデータをブラウザから直接効果的に取得することができます。

FormBookは、コンパイル済みでサイバー攻撃に使用できる状態で販売されているため、マルウェア・アズ・ア・サービス（MaaS）にも分類されます。FormBookのMaaSプラットフォームは、攻撃者が侵害されたシステムを遠隔操作し、盗まれたデータを収集するためのオンライン・コマンド・アンド・コントロール（C2）インターフェースへのアクセスを提供する。このマルウェアとサービスのパッケージは、ダークウェブのフォーラムで販売されており、価格は1週間のライセンスが29ドルから、完全な「Pro」ライセンスが299ドルとなっている。 

FormBookは、すべての主要なブラウザやあまり普及していないブラウザの長いリスト、電子メールクライアントやメッセージングアプリ、WindowsエクスプローラやTotal Commanderを含むファイル管理ツール、FTPクライアントの網羅的なリストを含む、90以上の異なるソフトウェアアプリケーションからデータを盗むことができます。2020年には、Javaでプログラムされ、WindowsまたはmacOSオペレーティングシステムを実行しているデバイスからデータを盗むことができる、xLoaderと名付けられたFormBookの新しいクロスプラットフォームの亜種が登場しました。 

FormBookは、それを配布する個々の脅威行為者に大きく依存する、様々な第一段階の戦術によって配信される可能性があります。それでも、デフォルトの設定では、自己解凍型のRoshal Archive (RAR)を使用し、埋め込まれたAutoItスクリプトを介してターゲットに感染します。

実行されると、FormBookは侵害されたシステム上で広範な監視を行い、システム権限のレベルや、マルウェア解析環境を示すデバッグツールやセキュリティ製品が検出されたかどうかに応じて、動的なアクションを実行します。 

FormBookはさらに、ペイロード内のハードコードされた文字列を難読化することで活動を隠します。ハードコードされたパスや関数名は小さな文字セットに分割され、実行時に連結されるか、実行直前にスクランブルされデコードされます。FormBookはまた、利用可能なすべてのモジュール名を手作業でマッピングし、ペイロードにハードコードされたBZip2 CRC32ハッシュと比較することで、実行時にダイナミックリンクライブラリ（DLL）モジュールをインポートし、意図が明らかになる可能性のある文字列のクリアテキストの使用を回避します。

感染したシステム上で持続性を維持するため、FormBookはファイルをランダムな名前のディレクトリにインストールし、パス、ファイル名、ファイル拡張子を頻繁に変更し、Windows AutoLoadレジストリキーをローテーションします。また、FormBookには多数のC2ドメイン名がプリインストールされており、1つのC2サーバーが特定されブロックされた場合に、ドメイン名を入れ替えることができます。 

しかし、FormBookの最も強力な検知回避方法は、プロセスの空洞化として知られるテクニックです。このテクニックにより、FormBookは正規のWindowsアプリケーションから新しいプロセスを生成し、正規のプロセスを装い、不正なプロセスをスキャンするセキュリティ製品を欺くことができます。

FormBookの亜種であるXloaderは、アップルのmacOSを感染させるために特別に設計されているが、2つの理由から成功率は低い：

1. MacOSにはJava実行環境（JRE）がプリインストールされていない
2. そのビルトイン・セキュリティ・メカニズムは、ソフトウェアが作者によってデジタル署名されていない場合にユーザーに警告を発し、ユーザーはインターネットからダウンロードされたソフトウェアを明示的に承認しなければならない。

FormBookは膨大な数のアプリケーションから保存データを盗み出しますが、FormBookはブラウザにも感染し、感染したブラウザによって読み込まれたあらゆるウェブページのドキュメント・オブジェクト・モデル（DOM）にマルウェアが直接アクセスできるようにします。この感染方法により、FormBookはDOMが変更されるとすぐに、たとえユーザーが自分でパスワードを入力しなくても、ウェブページのフォームから直接データをスクレイピングすることができます。

FormBook攻撃を防ぐには、主に、潜在的に悪意のあるファイルを特定し、そのファイルを処理するための標準操作手順（SOP）を提供するためのユーザー意識向上トレーニングが必要です。しかし、組織は、FormBook 攻撃の発生を防ぐだけでなく、攻撃の潜在的な被害を最小限に抑え、攻撃が発生した場合に迅速に検知して回復するために、あらゆる防御的なセキュリティ対策を導入する必要があります。 

FormBook攻撃の成功を防ぐための防御戦術をより包括的に挙げると、以下のようなものがある：

• フィッシング・テクニックについて従業員を教育するためのユーザー意識向上トレーニングを検討し、疑わしい電子メールや文書を処理するための標準操作手順(SOP)を作成し、電子メールが組織外から発信された場合にユーザーに通知するように電子メールクライアントを設定する。
• 暗号化されたファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• Officeアプリケーションが、「通知なしですべてのマクロを無効にする 」または「デジタル署名されたマクロ以外を無効にする 」設定で構成されていることを確認する。
• 暗号化された文書が暗号化解除された直後にスキャンし、侵害の兆候（IOC）を検出し、悪意のあるファイルの実行をブロックする防御措置を講じるエンドポイントセキュリティ製品をインストールし、設定する。
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。 
• すべてのセキュリティ製品のウイルス対策シグネチャとエンジンを最新の状態に保つ
• デジタル署名された正規ソフトウェアのみがすべてのエンドポイントにインストールされるようにする。
• リモート認証を提供するエンドポイントセキュリティ製品により、リモートワーカーのシステムの可視性を向上
• ネットワークを構築する際には、最小特権の原則を使用し、必要な場合を除き、ユーザーをローカル管理者グループに追加しない。
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。