Pas op: FormBook-malware verstuurd naar veel Nederlandse gebruikers.

By 4 maart 2019 juli 24th, 2019 Nieuws
Deel dit bericht!

Hoe kon de malware zich verspreiden?

Deze malware is door middel van spam verspreid. De email ziet eruit alsof hij afkomstig is van een bedrijf dat product-samples wil aanschaffen. De tekst bevat een algemene oproep aan de lezer om tot actie over te gaan: “please check samples and give us your best price”.

De spam email heeft een ZIP-file als attachment waarbij “pdf” in de naam zit. De malware executable die in de ZIP-file zit, heeft een naam die eindigt op ” pdf.exe”. Dit is een welbekende truc voor de verspreiding van malware: als de extensie van de filename door het operating system verborgen wordt, kan een gebruiker denken dat het een normaal PDF-document betreft.

Als een nietsvermoedende gebruiker dubbelklikt op de executable die eruit ziet als PDF-document, wordt het systeem geïnfecteerd met FormBook-malware.

FormBook-malware

De FormBook-malware-familie is een form-grabber en stealer malware die inmiddels al geruime tijd actief is. De malware probeert uit een hoop verschillende applicaties data en credentials te stelen, die vervolgens gebruikt of verkocht kunnen worden voor allerhande kwaadaardige doeleinden. De familie is reeds in detail beschreven door andere partijen, bijvoorbeeld door Arbor Networks, FireEye  en StormShield. Afgelopen december heeft Rémi Jullian op de BotConf conferentie 2018 een uitgebreide presentatie gegeven over deze malware-familie tot aan versie 3.8.

Het is duidelijk dat er actief wordt doorontwikkeld aan de FormBook-malware. De versie die in deze spam verspreid is, is versie 3.9 , maar meerdere oudere versies zijn ook over de afgelopen jaren in het wild gezien. Zowel het versienummer als de karakteristieke string “FBNG” zijn te vinden in de malware.

Deze versie probeert in willekeurige volgorde contact te leggen met een aanzienlijke lijst servers, deze is te vinden aan het einde van dit artikel. Deze adressen kunnen gebruikt worden als netwerk-gebaseerde indicators of compromise om te zoeken naar mogelijke infecties.

Doelwit

Het email-bericht dat door de Tesorion analisten is onderzocht, is verstuurd naar een paar honderd email-adressen. De meeste van deze adressen vallen binnen de “.nl” country code TLD. Bovendien horen vele van de adressen die niet op “.nl” eindigen overduidelijk bij Nederlandse organisaties of individuen. De ontvangers omvatten allerlei organisaties, waaronder semi-overheid, onderwijsinstellingen en bedrijven.

Aangezien de lijst met ontvangers erg gericht lijkt te zijn op Nederlanders, maar niet enkel adressen bevat die eindigen op “.nl”, lijkt het erop dat deze campagne voornamelijk gericht is op Nederland.

Wat kunt u doen?

Bewustwording bij gebruikers is één van de belangrijkste maatregelen tegen dit soort spam-campagnes. Gebruikersinteractie is noodzakelijk voordat een systeem geïnfecteerd raakt: de gebruiker moet de attachment uitpakken en vervolgens dubbelklikken op de executable. Bewustwording is nooit 100% effectief als tegenmaatregel. Om deze reden zullen er dus ook altijd meerdere, gelaagde technische verdedigingsmaatregelen getroffen moeten worden. Dit begint met het voorkomen dat de e-mails aankomen bij de beoogde ontvangers, bijvoorbeeld door email-filters in te zetten. Gebruikers zouden ook beschermd moeten worden door endpoint protection software, deze kan voorkomen dat de malware uitgevoerd wordt en bijbehorende schade kan veroorzaken. Tenslotte, wanneer endpoint protection er niet in is geslaagd om een infectie te voorkomen, kan snelle detectie van een infectie op het netwerk de schade beperken.

IoCs inzien? Download deze hieronder.