Вредоносная программа FormBook атакует военные предприятия в РФ и США

ИБ-эксперты из FireEye обнаружили киберкампанию, в рамках которой хакеры с помощью вредоносной программы FormBook атакуют предприятия аэрокосмической отрасли и военно-промышленного комплекса в Индии, России, США и Южной Кореи.

Как утверждают эксперты, принцип распространения вредоносной программы делает проблематичной идентификацию хакеров. FormBook распространяется по схеме Malware-as-a-Service. Каждый желающий может заказать копию программы, предварительно оформив подписку на неделю, месяц или три месяца или же купив Pro-версию.

Распространение вредоносной программы осуществляется посредством документов различных форматов (в том числе PDF, DOC/XLS), а также архивов с вредоносной ссылкой, макросов и исполняемых файлов. Хакеры зачастую маскируют вредоносные PDF-файлы под сообщения от служб доставки DHL и FedEx.

FormBook проникает в разные процессы для того, чтобы записывать нажатия клавиш, похищать содержимое буфера обмена и собирать информацию о сеансах HTTP. Кроме того, программа может выполнять команды, передаваемые с командных серверов. FormBook может быть настроена на загрузку и выполнение файлов, активацию процессов, завершение работы и перезагрузку компьютера, а также кражу cookie-файлов и паролей.

Как утверждают исследователи, FormBook пользуется несколькими уже известными уязвимостями.