-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
El malware FormBook utiliza un nuevo dropper de distribución.
- Publicado: 20/06/2019
- Importancia: Alta
- Recursos afectados
FormBook es un malware cuya finalidad es el robo de datos, especialmente de navegadores y otras aplicaciones web. Se tiene constancia de que ha estado a la venta en foros, relacionados con actividades de piratería, desde principios de 2016.
El método de distribución utilizado esta vez para la carga de FormBook ha sido a través de un dropper adjunto a documentos de diferentes formatos, enviados por correos electrónicos de spam.
El dropper se oculta dentro de los ficheros distribuidos por correo haciendo uso de empacadores y encriptadores que ocultan y dificultan la detección de la carga del malware final, que puede venir escrito en PE o ShellCode. Aunque también presenta variaciones en el lenguaje de programación utilizado, lo que dificulta que los softwares antimalware basados en firmas lo detecten.
La carga final de FormBook no se encuentra cifrada, ya que no se almacena de manera física, solo en la memoria RAM, lo que la hace mas indetectable a dispositivos antimalware convencionales.
- Etiquetas