FireEye：恶意软件FormBook正在攻击美国和韩国的国防工业

据FireEye的研究人员介绍，恶意软件FormBook被发现正在通过针对美国和韩国航空航天工业、国防军工企业承包商以及制造业的网络钓鱼电子邮件进行传播。

FormBook从7月份开始在暗网租售，并且价格灵活，以迎合更多客户的需求。

针对美国的网络钓鱼电子邮件包含多种格式文件格式的附件，如PDF、DOC或XLS。而针对韩国的附件文件格式包括ZIP、RAR、ACE和ISO。

FireEye的研究人员在8月11日至8月22日期间发现了两个不同的网络钓鱼电子邮件活动，其中包含不同的附件，并在7月18日至8月17日之间进行了不同于前两个活动的额外活动。在其中一次活动中，黑客使用了PDF附件，以FedEx和DHL运送和包裹交付为主题发送网络钓鱼电子邮件。这些PDF附件中包含有“可联系我”的网址缩短服务，如果受害者点击了这个网址则会被重定向到包含有FormBook可执行有效载荷的服务器。

在其他一些活动中，黑客利用包含恶意宏的DOC和XLS作为附件或利用恶意的ZIP、RAR、ACE和ISO文件作为附件，这些附件中都包含有FormBook的可执行文件。

恶意软件FormBook主要被用于窃取用户数据，和其他间谍软件一样，它能够从HTTP会话中提取数据、按键记录以及剪贴板内容。

此外，FormBook还可以从命令和控制（C2）服务器接收指令来执行许多恶意活动，例如下载更多的有效载荷。

FireEye在发布的分析报告中解释说：“FormBook通过注入各种进程，并安装功能来获取按键记录，窃取剪贴板内容，并从HTTP会话中提取数据。FormBook还可以从命令和控制（C2）服务器接受指令，这些指令包括指示恶意软件下载和执行文件，启动进程，关闭并重新启动系统以及窃取cookie和本地密码。”

据研究人员介绍，FormBook的开发者制作了一个特有的功能，允许恶意代码将“Windows”ntdll.dll模块从磁盘读入内存，并直接调用其导出的功能，使用户模式挂接和API监视机制无效。

FormBook可能会注入浏览器进程（ie iexplore.exe、firefox.exe、chrome.exe），并且能够根据目标进程安装不同的函数钩子

部分目标进程名称：

iexplore.exe、firefox.exe、chrome.exe、MicrosoftEdgeCP.exe、explorer.exe、opera.exe、safari.exe、torch.exe、maxthon.exe、seamonkey.exe、avant.exe、deepnet.exe、k- meleon.exe、citrio.exe、coolnovo.exe、coowon.exe、cyberfox.exe、dooble.exe、vivaldi.exe、iridium.exe、epic.exe、midori.exe、mustang.exe、orbitum.exe、palemoon. exe、qupzilla.exe、sleipnir.exe、superbird.exe、outlook.exe、thunderbird.exe、totalcmd.exe。

在注入任意目标进程之后，FormBook会根据进程设置用户模式的API钩子。