Крадущий информацию вредонос FormBook доступен по низкой цене
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Крадущий информацию вредонос FormBook доступен по низкой цене

Олег Иванов 22 Сентября 2017 - 11:35
...
Крадущий информацию вредонос FormBook доступен по низкой цене

В последнее время участились атаки, в которых задействован похищающий информацию вредонос, известный под именем FormBook. Этот зловред отличается низкой ценой и доступностью взломанного билдера.

Непосредственная доступность FormBook на хакерских форумах, а также наличие конструктора, привели к тому, что в последнее время появилось множество образцов этой вредоносной программы. FormBook был разработан для кражи данных из различных веб-браузеров и приложений, а также содержит кейлоггер и возможность делать скриншоты.

Код этого вредоноса использует обфускацию, что затрудняет его анализ, помимо этого, он не использует вызовы Windows API и не имеет очевидных строк, как утверждают эксперты из Arbor Networks. Исследователи проанализировали версию FormBook 2.9, но говорят, что все выводы также справедливы и для версий 2.6 и 3.0.

FormBook хранит свои данные зашифрованными в разных местах, называемых «encbufs», они различаются по размеру и на них ссылаются различные функции. Каждый encbuf содержит функции x86 и два блока, представляющих собой функции дешифрования.

Вредоносная программа использует алгоритм хеширования CRC32. Для некоторых вызовов хеши жестко закодированы в коде, тогда как для других вредоносная программа извлекает хеш из encbuf. FormBook хранит URL-адреса командного центра (C&C) в encbuf под названием «config», использует свернутый механизм, распределенный по нескольким функциям для доступа к ним. Сначала FormBook определяет, в каком процессе выполняется внедренный код, а затем переходит к расшифровке config, после чего идет расшифровка URL-адресов C&C.

Вредоносная программа может контактировать с шестью командными серверами, некоторые из этих доменов содержат доброкачественный контент. Большинство доменов возвращают ошибку HTTP 404 «страница не найдена», исследователи безопасности считают, что они являются приманкой.

Анализируя связь C&C с вредоносной программой, эксперты также обнаружили, что сообщения, отправленные на C&C, включают в себя результаты задачи, скриншоты, журналы логирования нажатия клавиш и журналы заполнения регистрационных форм.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники блокируют iPhone россиян под предлогом установки приложений
Екатерина Быстрова 01 Декабря 2025 - 08:41
iOS Мошенничество Домашние пользователи
Мошенники блокируют iPhone россиян под предлогом установки приложений

Мошенники придумали новую схему, позволяющую выманивать деньги у владельцев iPhone в России. Как сообщили в управлении МВД по борьбе с противоправным использованием ИКТ, злоумышленники уговаривают людей войти на устройстве в сторонний Apple ID — якобы для установки игр, разблокировки премиум-функций или доступа к «выгодному» контенту.

Аргументы звучат правдоподобно: мол, нужен чужой аккаунт, чтобы активировать недоступные приложения или получить их по сниженной цене.

Но как только пользователь вводит на своём смартфоне логин и пароль этого чужого Apple ID, начинается самое неприятное.

Мошенники сразу включают функцию «Найти iPhone» и переводят устройство в режим «Потерян». Телефон блокируется полностью, а на экране появляется сообщение с требованием заплатить за разблокировку. Часто это сопровождается угрозами удалить данные или «слить» личную информацию.

В МВД предупреждают: вход в чужую учетную запись на своём устройстве фактически отдаёт злоумышленникам полный контроль над гаджетом через iCloud.

Поэтому ни в коем случае нельзя аутентифицироваться в сторонних Apple ID, даже если обещают доступ к «премиум-контенту» или другим «выгодам».

Напомним, на прошлой неделе польский антимонопольный регулятор обвинил Apple в том, что корпорация якобы вводит пользователей в заблуждение относительно уровня конфиденциальности, который предоставляет функция App Tracking Transparency (ATT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Каждый десятый сотрудник в России светит рабочую почту на сторонних сайтах
Новость
Каждый десятый сотрудник в России светит рабочую почту на ст...
Минцифры поддержало инициативу депутатов об обучении ИБ госслужащих
Новость
Минцифры поддержало инициативу депутатов об обучении ИБ госс...
Минцифры РФ готовит список юрлиц, которым разрешено проводить обзвоны
Новость
Минцифры РФ готовит список юрлиц, которым разрешено проводит...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.