FormBook信息窃取木马通过OneNote文档传播

已于 2024-01-19 21:18:34 修改
阅读量165 收藏
点赞数
文章标签: onenote
于 2023-08-18 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZL_1618/article/details/132333283
版权

攻击者长期以来一直使用 Office 文档来传播恶意软件,也没有放弃尝试新的攻击方式。近期,研究人员发现 Formbook 攻击者开始使用 OneNote
文档文件。

Formbook 是信息窃取木马,2016 年开始在地下论坛出售,2018
年启动恶意软件即服务。该恶意软件可以从各种浏览器和应用程序窃取数据,还有按键记录与屏幕截图功能。

2022 年 12 月 6 日,研究人员注意到垃圾邮件检测系统检出了 .one 扩展名的 OnoNote 附件文件。通过电子邮件发送 .one
文件并不常见,引起了研究人员的注意。

image.png-537.8kB查看电子邮件

内容的大意为:

亲爱的客户下午好,希望您一切顺利。

我叫 xxx,来自 xxx 公司的采购团队。

请您提供以下信息的报价:

期待您的恢复,非常感谢!

祝好!

联系方式:

打开 OneNote 附件后,会显示图片诱饵。点击图片的“查看文档”时,会弹出安全警告。

image.png-171.9kBOneNote
附件文件

解析了 pdf172.one 的内容后,发现与图片中“查看文档”相关的有 Windows 脚本文件(WSF)。一旦点击“查看文档”,就会执行 WSF 文件。

可能是为了逃避检测,WSF 文件名在 invoice 后包含一个从右到左的覆盖字符,这会导致后面的文本反向显示。因此,应用程序可能不显示为
docx.wsf,而是将其显示为 fsw.xcoD。

image.png-466.3kB覆盖在诱饵图片上的
WSF 文件

用户无视警告仍然打开时,恶意行为就触发了。启动 PowerShell 通过 a0745450[.]xsph[.]ru 下载并执行两个文件。

image.png-1357.2kBOneNote
附件中包含的 WSF

通过 a0745450[.]xsph[.]ru/INVESTEMENT[.]one 下载 OneNote 诱饵文件并保存为
%temp%\invoice.one。启动诱饵文件,隐藏第二个文件的下载。

第二个文件为可执行文件,通过 a0745450[.]xsph[.]ru/DT6832.exe 下载并保存为
%temp%\system32.exe,该可执行文件为 Formbook 恶意软件。

image.png-117.1kBFormbook
恶意软件

OneNote 已经正式加入了攻击者利用的范畴,在对 Office 恶意文档进行分析时不要忘了此类文档。

IOC

81bd8c431811f83f335735847d42fb4f64f80960
d5ee9183be486bf153d7666ca4301e600ea06087
33d8fb75f471bdc4ebaff053e87146721f32667a
a0745450[.]xsph[.]ru/DT6832[.]exe
a0745450[.]xsph[.]ru/INVESTEMENT[.]one

参考来源

[Trustwave](https://www.trustwave.com/en-us/resources/blogs/spiderlabs-
blog/trojanized-onenote-document-leads-to-formbook-malware/)

blog/trojanized-onenote-document-leads-to-formbook-malware/)

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NRKD83wx-1692234577625)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

formbook样本注入姿势赏析
yellow的博客
05-27 408
formbook样本注入姿势赏析。
如何优雅的获取formbook样本C2
yellow的博客
09-26 428
优雅的获取formbook样本的C2地址
formbook 恶意软件浅析
若有战,召必回
01-16 804
它会加载所有字符串哈希值,并将运行中的进程与每个哈希值进行比较,如果发现任何此类进程,就会在 conf obj 上的反虚拟机标志上添加所需的值。恶意软件的启动非常简单,它会先加载一些必要的库,然后再进入恶意代码。ParsingState 方法从动态加载的程序集里提取第 21 个类型,并定位该类型的第 30 个方法,然后直接调用它,这可能用于执行隐藏的恶意功能。我编写了一个小脚本,可以接受提供的哈希值,并在常用字符串、API 名称、路径等列表中逐一计算其哈希值,与提供的目标哈希值进行比较,确认是否匹配。
窃密木马Formbook危害巨大,360安全大脑极智守护御敌于国门之外
weixin_42880419的博客
06-03 517
近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件,该病毒于近期大肆进行邮件钓鱼传播。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 通过分析相关日志后发现,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj
攻击技术研判|“重门深锁”FormBook Crypter 执行隐匿技术精析
xnxqwzy的博客
08-19 280
1. 商业化的 crypter 的存在体现了现代恶意软件的模块化特征,往往包含较多的隐匿规避技术。2. NSIS 安全程序生成引擎本身可编程的灵活性使其具有被滥用执行恶意代码的潜力。3. 直接系统调用的攻击方式在恶意样本中逐渐多见,动态解析 Windows 系统调用 ID 已经成为当前的主流做法,Hook等传统检测方案已缺乏检测能力。4. 利用“Heaven’s Gate”方法可在 Wow64 子系统中进行 x86 与 x64。
谨防Formbook病毒利用邮件入侵窃密!
互联网安全研究院
06-21 360
近日,研究人员截获的攻击样本中发现,FormBook窃密病毒试图对我国重点行业,外贸等相关企业人员进行钓鱼攻击活动。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 安全研究机构FireEye:攻击者是通过使用各种含有不同附件的电子邮件来传播FormBookFormBook自2016以来在黑客论坛出售,因其隐蔽且易用的特点闻名。其主要利用钓鱼邮件进行传播,一旦用户不小心下载打开邮件附件,该恶意软件将会安装到终端上窃取机密数据和敏感信息Formbook窃密软
加壳formbook病毒分析中间文件
02-08
Formbook是一种著名的远程访问木马(RAT),它被广泛用于非法活动,如数据盗窃和个人信息窃取。这篇博客文章《加壳formbook病毒分析中间文件》深入探讨了对这种加壳病毒的分析过程,主要分为四个阶段,并提到了两个...
FormBook ? 某NSIS打包程序ShellCode的hash算法
WLINX
11-23 2049
import lief,sys def CalculateHash(name): name = list(map(ord,name)) i = 8998 for b in range(len(name)): i += name[b] + (((i >> 1) & 0xffffffff) | ((i << 7)& 0xffffffff)) hash = i & 0xffffffff
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3444
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
FormBook样本利用CVE-2017-11882漏洞传播
yellow的博客
06-13 247
事件来源:
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 355
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
流行窃密木马盘点
wangluoanquan111的博客
07-31 659
窃密木马是用于窃取用户系统中敏感数据的恶意执行体。攻击者常通过网络钓鱼、漏洞利用、软件捆绑等方式投放窃密木马,并利用窃取到的重要数据进行牟利。当用户系统感染窃密木马后,根据攻击者的预先设定,窃密木马会在受感染系统中实施隐藏、驻留、探测、搜集、传输、监听等行为,从而将敏感数据按照攻击者的需求进行传输,最终给用户造成收入损失、声誉损害等严重后果。目前,窃密木马攻击者已构建了完整的窃密产业链,包含开发、分析对抗、销售、攻击等多个环节,形成了明确的内部分工体系和获利模式。
onenote的使用技巧以及不足之处
WenBayBay的博客
04-11 282
OneNote我用了三年了,感觉这软件还是记一些手写笔记会比较好吧,记和编程有关的就显然不如markdown了,
Delphi 12.3控件之TraeSetup-stable-1.0.12120.exe
04-26
Delphi 12.3控件之TraeSetup-stable-1.0.12120.exe
基于GPRS,GPS的电动汽车远程监控系统的设计与实现.pdf
04-26
基于GPRS,GPS的电动汽车远程监控系统的设计与实现.pdf
基于MATLAB/Simulink 2018a的单机无穷大系统暂态稳定性仿真与故障分析
04-26
内容概要:本文详细介绍了如何利用MATLAB/Simulink 2018a进行单机无穷大系统的暂态稳定性仿真。主要内容包括搭建同步发电机模型、设置无穷大系统等效电源、配置故障模块及其控制信号、优化求解器设置以及绘制和分析转速波形和摇摆曲线。文中还提供了多个实用脚本,如故障类型切换、摇摆曲线计算和极限切除角的求解方法。此外,作者分享了一些实践经验,如避免常见错误和提高仿真效率的小技巧。 适合人群:从事电力系统研究和仿真的工程师和技术人员,尤其是对MATLAB/Simulink有一定基础的用户。 使用场景及目标:适用于需要进行电力系统暂态稳定性分析的研究项目或工程应用。主要目标是帮助用户掌握单机无穷大系统的建模和仿真方法,理解故障对系统稳定性的影响,并能够通过仿真结果评估系统的性能。 其他说明:文中提到的一些具体操作和脚本代码对于初学者来说可能会有一定的难度,建议结合官方文档或其他教程一起学习。同时,部分技巧和经验来自于作者的实际操作,具有一定的实用性。
【KUKA 机器人资料】:KUKA机器人剑指未来——访库卡自动化设备(上海)有限公司销售部经理邹涛.pdf
最新发布
04-26
KUKA机器人相关资料
基于DLR模型的PM10–能见度–湿度相关性 研究.pdf
04-26
基于DLR模型的PM10–能见度–湿度相关性 研究.pdf
HTTP流量与DNS隧道安全检测技术分析
- HTTP协议广泛用于各种恶意活动,如窃密、下载者和银行木马(TrickBot、Emotet、Ursnif、FormBook)。 - 异常检测主要关注以下六个方面: - 不一致:内容与Content-Type不匹配,或与返回状态不符。 - 字段异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值