Похищающий информацию вредонос FormBook атакует США и Южную Корею
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Похищающий информацию вредонос FormBook атакует США и Южную Корею

Олег Иванов 06 Октября 2017 - 16:47
...
Похищающий информацию вредонос FormBook атакует США и Южную Корею

В течение последних нескольких месяцев специалисты компании FireEye наблюдали несколько крупномасштабных рекламных кампаний, распространяющих вредоноса FormBook. FormBook славится тем, что похищает важную информацию, в данном случае он был нацелен на авиационно-космическую и производственную сферы США и Южной Кореи.

Зловред FormBook доставляется пользователям через электронную почту в нескольких видах:

  • PDF-файлы с ссылками на скачивание
  • Файлы DOC и XLS, содержащие вредоносные макросы
  • Архивы ZIP, RAR, ACE и ISO, внутри которых располагается exe-файл

PDF и DOC/XLS были замечена в атаках на США, когда архивы рассылались как в США, так и в Южную Корею. К слову, FormBook рекламировался на различных хакерских форумах с начала 2016 года.

Вредоносная программа внедряется в различные процессы, записывает нажатие клавиш и извлекает информацию из HTTP-сессий жертвы. Также предусмотрено выполнение команд, поступающих от сервера злоумышленников, в их перечень входит загрузка и запуск файлов, запуск процессов, завершение работы или перезагрузка системы, а также кража файлов cookie и локальных паролей.

Одной из наиболее интересных функций FormBook является считывание модуля Windows ntdll.dll и прямой вызов его функций, что делает перехват уровня пользователями неэффективным. Также зловред отличается тем, что случайным образом изменяет путь, имя файла, расширение файла и раздел реестра, используемый для сохранения, чтобы обеспечить себе долгое присутствие в системе.

Возможности FormBook включают:

  • Логирование нажатий клавиш
  • Мониторинг буфера обмена
  • Получение информации из HTTP/HTTPS/SPDY/HTTP2-форм
  • Кража паролей из браузеров и почтовых клиентов
  • Снятие скриншотов

FormBook может получать следующие удаленные команды с сервера злоумышленников:

  • Обновить бота в системе
  • Загрузить и выполнить файл
  • Удалить бот из хост-системы
  • Запустить команду через ShellExecute
  • Очистить файлы cookies браузера
  • Перезагрузить систему
  • Выключить систему
  • Собрать пароли и сделать скриншот
  • Загрузить и распаковать ZIP-архив

Сервер киберпреступников находится, как правило, в следующих доменах верхнего уровня: .site, .website, .tech, .online и .info. Инфраструктура сервера размещена на украинском хостинге BlazingFast.io.

Конфиденциальные данные, собранные с помощью FormBook, могут использоваться для дополнительных действий киберпреступников, например, для вымогательства или мошенничества с банками.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Массовый сбой в Cloudflare положил X, Spotify, Zoom и ChatGPT
Екатерина Быстрова 18 Ноября 2025 - 15:39
Сбои программ Общее CloudFlare
Массовый сбой в Cloudflare положил X, Spotify, Zoom и ChatGPT

Крупные интернет-ресурсы сегодня перестали нормально работать из-за масштабного сбоя в Cloudflare. Проблемы затронули сразу множество популярных сервисов: пользователи жаловались на недоступность X (бывший Twitter), Spotify, Zoom, ChatGPT, Letterboxd и ряда других крупных платформ.

При попытке зайти на сайты появлялись сообщения о том, что Cloudflare не может отдать страницу из-за внутренней ошибки.

Cloudflare — один из ключевых поставщиков услуг CDN. Компания обеспечивает защиту от кибератак, распределение нагрузки, ускорение загрузки контента и стабильность работы миллионов сайтов.

Поэтому любой серьёзный сбой быстро отражается на огромном количестве онлайн-сервисов по всему миру.

В компании подтвердили, что специалисты разбираются с инцидентом.

«Cloudflare знает о проблеме и расследует киберинцидент, затрагивающий многих клиентов. Дополнительная информация будет предоставлена по мере появления новых данных», — говорится в официальном уведомлении.

Даже сайт DownDetector, который фиксирует массовые сбои, частично завис и работал нестабильно. Когда он загружался, графики демонстрировали резкий и одновременный рост жалоб на множество крупных сервисов.

 

Пользователи видели сообщение о «внутренней ошибке сервера в сети Cloudflare» и совет обновить страницу позже. Причины сбоя пока не раскрываются, сроки полного восстановления работы сервисов также неизвестны.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Как мошенники атакуют жителей новых регионов
Новость
Как мошенники атакуют жителей новых регионов
По России массово распространяется мошенничество с утильсбором
Новость
По России массово распространяется мошенничество с утильсбор...
Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств
Новость
Найден Android-бэкдор в фейковом Telegram X: заражены 58 тыс...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.