Formbook malware OneNote-tal érkezik
A Trustwave kutatói azonosítottak egy kampányt, amiben egy OneNote-dokumentumot használnak a Formbook kártevők terjesztésére. A Formbook malware adatokat lophat böngészőkből és más alkalmazásokból és billentyűzetnaplózási funkcióval is rendelkezik, valamint képernyőképeket is képes készíteni.
A kutatásban érintett esetben a kezdeti vektor egy spam e-mail volt, aminek a mellékleteként jelent meg a .one kiterjesztésű csatolmány. A OneNote-melléklet megnyitása után egy figyelemfelhívás jelenik és egy biztonsági figyelmeztetésként. Amikor a felhasználó rákattint a kép „Dokumentum megtekintése” ablakra, ez a Windows Script File -fájl végrehajtását idézi elő, és biztonsági riasztást vált ki, ha egy fájlt a OneNote alkalmazásból nyitnak meg. Ha a felhasználó átlép a figyelmeztetésen és az „OK” gombra kattint, a OneNote-fájlba ágyazott WSF PowerShell parancsokat indít el és két fájl letölt és elindít. Az első fájl gyakorlatilag elrejti a második letöltését, ami a Formbook malware.
A Trustwave kutatói megosztották az azonosításhoz szükséges mutatókat.