Malware FormBook

El malware FormBook (también conocido como xLoader) está clasificado como robador (spyware) y, como su nombre indica, es conocido por sus técnicas de captura de formularios para extraer datos directamente de formularios HTML de sitios web, así como por su capacidad para robar datos de pulsaciones de teclas, funciones de autorrelleno del navegador y portapapeles de copiar y pegar. Estas técnicas permiten a FormBook capturar eficazmente datos no escritos explícitamente, incluidos números de tarjetas de crédito y tokens de autenticación multifactor, directamente desde un navegador.

FormBook también se clasifica como Malware-as-a-Service (MaaS) porque se vende precompilado y listo para su uso en un ciberataque. La plataforma MaaS de FormBook proporciona a los atacantes acceso a una interfaz de mando y control (C2) en línea para controlar sistemas comprometidos de forma remota y recopilar datos robados. El paquete de malware y servicios se vende en foros de la Dark Web con precios que oscilan entre los 29 dólares por una licencia de una semana y los 299 dólares por una licencia "Pro" completa. 

FormBook puede robar datos de más de 90 aplicaciones de software diferentes, incluidos los principales navegadores y una larga lista de navegadores menos populares, clientes de correo electrónico y aplicaciones de mensajería, herramientas de gestión de archivos como el Explorador de Windows y Total Commander, y una lista exhaustiva de clientes FTP. En 2020 apareció una nueva variante multiplataforma de FormBook apodada xLoader programada en Java y capaz de robar datos de dispositivos con sistemas operativos Windows o macOS. 

FormBook puede entregarse a través de varias tácticas de primera etapa que dependen en gran medida del actor de amenaza individual que lo distribuya. Sin embargo, su configuración por defecto utiliza un archivo autoextraíble Roshal Archive (RAR) para infectar objetivos a través de un script AutoIt incrustado.

Tras su ejecución, FormBook lleva a cabo una vigilancia exhaustiva del sistema comprometido, seguida de un curso de acción dinámico en función de su nivel de permisos del sistema y de si detecta herramientas de depuración y productos de seguridad que indicarían un entorno de análisis de malware. 

FormBook oculta aún más su actividad ofuscando las cadenas codificadas en su carga útil. Las rutas y los nombres de funciones codificados se dividen en pequeños conjuntos de caracteres y se concatenan en tiempo de ejecución o se codifican y descodifican inmediatamente antes de la ejecución. FormBook también importa módulos de la biblioteca de vínculos dinámicos (DLL) en tiempo de ejecución mediante la asignación manual de todos los nombres de módulos disponibles y su comparación con hashes CRC32 BZip2 codificados en la carga útil para evitar el uso de cadenas en texto claro que pudieran revelar sus intenciones.

Para mantener la persistencia en un sistema infectado, FormBook instala sus archivos en un directorio de nombre aleatorio, cambia con frecuencia su ruta, nombre y extensión de archivo, y rota las claves de registro de Windows AutoLoad. FormBook también viene preinstalado con muchos nombres de dominio C2, lo que le permite cambiar si un servidor C2 es identificado y bloqueado. 

Sin embargo, el método más potente de FormBook para evadir la detección es una técnica conocida como process hollowing. Esta técnica permite a FormBook generar un nuevo proceso a partir de una aplicación legítima de Windows, de modo que puede hacerse pasar por un proceso legítimo y engañar a los productos de seguridad que buscan procesos maliciosos.

Xloader, una variante de FormBook, ha sido diseñada especialmente para infectar macOS de Apple, pero su tasa de éxito es baja por dos razones:

1. MacOS no lleva preinstalado el entorno de ejecución de Java (JRE)
2. Sus mecanismos de seguridad integrados advierten a los usuarios cuando el software no está firmado digitalmente por su autor y los usuarios deben autorizar explícitamente el software que se ha descargado de Internet.

Aunque FormBook roba los datos guardados de un gran número de aplicaciones, también puede infectar navegadores, dando al malware acceso directo al modelo de documento-objeto (DOM) de cualquier página web cargada por el navegador infectado. Este método de infección permite a FormBook extraer datos directamente de formularios de páginas web inmediatamente después de que se modifique el DOM, incluso si el usuario no teclea la contraseña.

La prevención de un ataque de FormBook depende principalmente de la formación de los usuarios, que puede preparar al personal para identificar archivos potencialmente maliciosos y proporcionar procedimientos operativos estándar (SOP) para manejarlos. Sin embargo, las organizaciones deben desplegar toda una serie de medidas de seguridad defensivas no sólo para evitar que se produzca un ataque a un bloc de notas, sino también para minimizar el daño potencial de un ataque y detectar y recuperarse rápidamente en caso de que se produzca. 

Una lista más exhaustiva de tácticas defensivas que pueden impedir el éxito de un ataque de FormBook incluye:

• Considere la posibilidad de sensibilizar a los usuarios para que conozcan las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos, y configure los clientes de correo electrónico para que notifiquen a los usuarios cuando los correos electrónicos procedan de fuera de la organización.
• Reconocer el mayor riesgo que presentan los archivos cifrados y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente .
• Instalar y configurar productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos, detecten indicadores de peligro (IOC) y adopten medidas defensivas para bloquear la ejecución de archivos maliciosos.
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos. 
• Mantener actualizadas las firmas y los motores antivirus de todos los productos de seguridad.
• Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los terminales; analice periódicamente y bloquee la ejecución de cualquier software no autorizado.
• Mejore la visibilidad de los sistemas de los trabajadores remotos con productos de seguridad para puntos finales que ofrezcan atestación remota.
• Utilizar el principio del mínimo privilegio al diseñar redes para evitar añadir usuarios al grupo de administradores locales a menos que sea necesario.
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.