新恶意软件出现，Microsoft Office 365用户中招

Posted 2021-04-28 MottoIN

来自Ironscales（世界上第一个自动网络钓鱼预防、检测和响应平台）和Sandbox（人工智能恶意软件研究平台）的研究人员报告称，Microsoft Office 365用户会受到通过网络钓鱼电子邮件传播的新恶意软件变种的影响。研究人员于2018年11月29日发现了新的恶意软件变种。

背景

根据Ironscales和Sandbox的报告，新恶意软件是已知恶意软件“Formbook”的变体，这是一种用C语言和x86汇编语言编写的数据窃取和表单攫取工具。它是待售的恶意软件，可以被没有任何恶意软件开发技能的网络犯罪分子使用。恶意软件使用高级技术进行横向移动，窃取“explorer.exe”进程的已执行线程，以便执行自己的代码。“Formbook”的恶意软件系列早就使用了这种技术。

FormBook概述

FormBook是一个数据窃取和表单攫取工具，该工具自2016年初以来就开始在各种黑客论坛上开始出现，下图是FormBook的一则宣传广告。

FormBook可以注入到各种进程中，通过安装键盘记录器功能，来窃取文件内容，并从HTTP会话中提取数据。FormBook还可以通过命令和控制服务器执行命令，这些命令包括指示FormBook下载和执行文件，启动进程，关闭并重启系统，并窃取cookie和本地密码。

FormBook最有趣的一个功能就是将Windows的ntdll.dll模块通过磁盘读取内存，并直接调用其导出的函数，这样在用户模式下的hook和API监控机制就都失效了。为此，FormBook开发者特意将此攻击技术称为“拉各斯岛方法”，据了解，有一种进程rootkit就这样命名。

除此之外，FormBook还具有持久性攻击的特点，可以随机地改变路径、文件名、文件扩展名和用于持久性的注册表项。

Formbook使用起来很容易，价格也便宜，这都使其成为网络犯罪分子的不二选择。

新恶意软件

发现时间：2018年11月30日

发现人员：Ironscales和Sandbox的研究人员

使用恶意的#RTF文件感染计算机，该恶意软件可以在用户不知情的情况下使用已知漏洞（CVE）来下载和执行恶意文件。这些漏洞最近在DOC文件上被广泛利用，因为微软很难修补EQNEDT32.EXE进程，因为他们可能已经丢失了这个进程的源代码，因此他们无法发布补丁来阻止攻击。

该恶意文件看起来是合法的.PNG文件，其中EXE文件保持隐藏状态（例如，URL https[:]//f[.]coka[.]la/2RTMHs[.]png是隐藏在.PNG文件下的EXE文件）。

隐藏的恶意内容可以很轻易的绕过常规代理服务器。

恶意软件是用C和x86汇编语言编写的。它依赖于高级方法来窃取“explorer.exe”的执行线程，以便执行自己的代码。

Ironscales和Sandbox的研究人员报告称，由于网络犯罪分子使用的先进技术，反病毒软件无法检测到该恶意软件，所以没有方法来监测它。另外，研究人员也未能找到受影响用户的地理分布。