FormBook信息窃取木马通过OneNote文档传播

最新推荐文章于 2024-10-12 17:46:25 发布
最新推荐文章于 2024-10-12 17:46:25 发布
阅读量243 收藏
点赞数
文章标签: onenote windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/128850583
版权
研究人员发现Formbook攻击者开始使用OneNote文档传播恶意软件,通过电子邮件发送附带.wsf脚本的附件。用户点击图片中的‘查看文档’会触发恶意代码执行,下载并运行Formbook木马,该木马能窃取数据、记录键盘和截屏。文章提醒用户注意OneNote附件的安全风险,并提供了IOC指标。
摘要由CSDN通过智能技术生成

攻击者长期以来一直使用 Office 文档来传播恶意软件,也没有放弃尝试新的攻击方式。近期,研究人员发现 Formbook 攻击者开始使用 OneNote
文档文件。

Formbook 是信息窃取木马,2016 年开始在地下论坛出售,2018
年启动恶意软件即服务。该恶意软件可以从各种浏览器和应用程序窃取数据,还有按键记录与屏幕截图功能。

2022 年 12 月 6 日,研究人员注意到垃圾邮件检测系统检出了 .one 扩展名的 OnoNote 附件文件。通过电子邮件发送 .one
文件并不常见,引起了研究人员的注意。

image.png-537.8kB查看电子邮件

内容的大意为:

亲爱的客户下午好,希望您一切顺利。

我叫 xxx,来自 xxx 公司的采购团队。

请您提供以下信息的报价:

期待您的恢复,非常感谢!

祝好!

联系方式:

打开 OneNote 附件后,会显示图片诱饵。点击图片的“查看文档”时,会弹出安全警告。

image.png-171.9kBOneNote
附件文件

解析了 pdf172.one 的内容后,发现与图片中“查看文档”相关的有 Windows 脚本文件(WSF)。一旦点击“查看文档”,就会执行 WSF 文件。

可能是为了逃避检测,WSF 文件名在 invoice 后包含一个从右到左的覆盖字符,这会导致后面的文本反向显示。因此,应用程序可能不显示为
docx.wsf,而是将其显示为 fsw.xcoD。

image.png-466.3kB覆盖在诱饵图片上的
WSF 文件

用户无视警告仍然打开时,恶意行为就触发了。启动 PowerShell 通过 a0745450[.]xsph[.]ru 下载并执行两个文件。

image.png-1357.2kBOneNote
附件中包含的 WSF

通过 a0745450[.]xsph[.]ru/INVESTEMENT[.]one 下载 OneNote 诱饵文件并保存为
%temp%\invoice.one。启动诱饵文件,隐藏第二个文件的下载。

第二个文件为可执行文件,通过 a0745450[.]xsph[.]ru/DT6832.exe 下载并保存为
%temp%\system32.exe,该可执行文件为 Formbook 恶意软件。

image.png-117.1kBFormbook
恶意软件

OneNote 已经正式加入了攻击者利用的范畴,在对 Office 恶意文档进行分析时不要忘了此类文档。

IOC

81bd8c431811f83f335735847d42fb4f64f80960
d5ee9183be486bf153d7666ca4301e600ea06087
33d8fb75f471bdc4ebaff053e87146721f32667a
a0745450[.]xsph[.]ru/DT6832[.]exe
a0745450[.]xsph[.]ru/INVESTEMENT[.]one

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC阿道夫
关注
formbook样本注入姿势赏析
yellow的博客
05-27 370
formbook样本注入姿势赏析。
如何优雅的获取formbook样本C2
yellow的博客
09-26 344
优雅的获取formbook样本的C2地址
窃密木马Formbook危害巨大,360安全大脑极智守护御敌于国门之外
weixin_42880419的博客
06-03 491
近日,360高级威胁研究分析中心,检测到一批疑似针对外贸等相关企业人员的钓鱼攻击活动。经分析,始作俑者是一种叫Formbook的窃密木马,自 2016 年初以来就开始在各种黑客论坛上开始出现销售。通过伪装成一艘名为UNIVERSE PROSPERITY的散货邮轮的信息邮件,该病毒于近期大肆进行邮件钓鱼传播。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 通过分析相关日志后发现,钓鱼邮件中所携带的恶意压缩包名称大多为:MV UNIVERSE PROSPERITY.arj
黑客现在使用微软OneNote附件传播恶意软件
热门推荐
网络研究观
01-28 1万+
恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马
谨防Formbook病毒利用邮件入侵窃密!
互联网安全研究院
06-21 317
近日,研究人员截获的攻击样本中发现,FormBook窃密病毒试图对我国重点行业,外贸等相关企业人员进行钓鱼攻击活动。截止目前,已有上百个国内外企业或个人受到此次攻击影响,其中不乏一些国内大型物流公司。 安全研究机构FireEye:攻击者是通过使用各种含有不同附件的电子邮件来传播FormBookFormBook自2016以来在黑客论坛出售,因其隐蔽且易用的特点闻名。其主要利用钓鱼邮件进行传播,一旦用户不小心下载打开邮件附件,该恶意软件将会安装到终端上窃取机密数据和敏感信息Formbook窃密软
FormBook样本利用CVE-2017-11882漏洞传播
yellow的博客
06-13 227
事件来源:
加壳formbook病毒分析中间文件
02-08
Formbook是一种著名的远程访问木马(RAT),它被广泛用于非法活动,如数据盗窃和个人信息窃取。这篇博客文章《加壳formbook病毒分析中间文件》深入探讨了对这种加壳病毒的分析过程,主要分为四个阶段,并提到了两个...
"2022埃及信息学杂志:COVID-19网络安全与智能系统
埃及信息学杂志23(2022)197全文通过基于模糊逻辑和数据挖掘的智能系统Syed Rameem Zahraa,Mohammad Ahsan Chishtib,Asif Iqbal Babac,Fan Wud,a印度克什米尔斯利那加国家技术学院计算机科学与工程系b印度克什...
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3156
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 324
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
攻击技术研判|“重门深锁”FormBook Crypter 执行隐匿技术精析
xnxqwzy的博客
08-19 227
1. 商业化的 crypter 的存在体现了现代恶意软件的模块化特征,往往包含较多的隐匿规避技术。2. NSIS 安全程序生成引擎本身可编程的灵活性使其具有被滥用执行恶意代码的潜力。3. 直接系统调用的攻击方式在恶意样本中逐渐多见,动态解析 Windows 系统调用 ID 已经成为当前的主流做法,Hook等传统检测方案已缺乏检测能力。4. 利用“Heaven’s Gate”方法可在 Wow64 子系统中进行 x86 与 x64。
H-WORM家族远控木马分析与处置
不忘初心,护天下安全!
08-15 2794
首先通过读取注册表项+脚本名,判断当前系统是否已感染,接着将目标文件放入注册表项"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\"和"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\"中实现自启动。H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。...
macos OneNote 2016 for Mac 官方pkg下载地址 - macos 10.15 Catalion 可用Onenote版本官方下载地址
08-31 586
macos 10.15 Catalion 版本的系统已经无法正常从应用商店下载到可用的Onenote 应用,原因是版本不受支持
力扣21~30题
SM_zeng的博客
10-10 939
我发现我都注释没怎么写过,导致写得时候思路没有特别清晰,所以要开始写注释了。
智能指针(2)
2301_80377335的博客
10-09 993
照成这种原因的本质就是引用计数的正常增加导致内部循环的部分无法释放,所以解决问题的关键计数使得内部循环引用的部分的引用计数不会增加就可以了,这时weak_ptr不会增加引用计数的优势就体现了,只需要将链表内部循环的部分的管理的智能指针换成weak_ptr就可以了。shared_ptr是不会出现引用失效的,因为它的引用计数是会变的,但是这里如果引用的是一个空的对象,也就是说shared_ptr为nullptr,那这里的引用计数就需要特殊处理的,实际是给0的,因为引用空的根本不需要管理。所以还是带上比较好。
Stream流
m0_68319667的博客
10-12 969
一旦定义了一个流,就可以在一个表达式中链接多个操作,形成一个处理管道。提供了更简洁的语法,但在某些情况下,传统的循环可能更快。:流的操作可能会抛出异常,特别是在使用自定义函数作为参数时。是 Java 8 引入的一个重要特性,它是对集合数据进行操作的一种新的方式。:并行流在多线程环境中运行,因此需要考虑线程安全问题,尤其是在使用共享资源时。方法调用完毕后返回的不在是一个流的对象, 不能继续在使用Stream的功能。方法调用完毕后返回的依然是一个流的对象, 可以继续使用Stream的功能。
Python基础知识练习题详解
m0_73723097的博客
10-11 1143
CA)remove()#这个方法用于删除列表中的第一个匹配到的指定值。它不接受索引,也不返回被删除的元素,而是返回None(如果没有找到要删除的值,则抛出ValueErrorB)del()#这是一个语句,而不是一个方法。它用于通过索引删除列表中的元素。虽然它可以删除最后一个元素(通过),但它不返回被删除的元素。C)pop()#这个方法用于删除列表中的最后一个元素(或者通过指定索引删除其他位置的元素),并返回被删除的元素。这是删除并返回列表最后一个元素的正确方法。D)clear()
【水果识别】基于matlab GUI形态学水果大小识别【含Matlab源码 920期】.md
最新发布
10-15
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像识别:表盘识别、车道线识别、车牌识别、答题卡识别、电器识别、跌倒检测、动物识别、发票识别、服装识别、汉字识别、红绿灯识别、火灾检测、疾病分类、交通标志牌识别、口罩识别、裂缝识别、目标跟踪、疲劳检测、身份证识别、人民币识别、数字字母识别、手势识别、树叶识别、水果分级、条形码识别、瑕疵检测、芯片识别、指纹识别
HTTP流量与DNS隧道安全检测技术分析
- HTTP协议广泛用于各种恶意活动,如窃密、下载者和银行木马(TrickBot、Emotet、Ursnif、FormBook)。 - 异常检测主要关注以下六个方面: - 不一致:内容与Content-Type不匹配,或与返回状态不符。 - 字段异常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值