FormBook将全新的Office 365 0 Day漏洞添加到其武器库

发布时间：2022-01-04 10:54 所属栏目：53 来源：互联网

导读：最近我们监测到一个使用FormBook 恶意软件最新版本的攻击活动，该恶意软件自 2016 年以来一直存在。过去几年已经有一些关于 FormBook 的分析，包括对 macOS 的扩展支持。FormBook 以高度混淆的有效载荷和使用文档 CVE 漏洞而闻名。直到最近，FormBook利用较多

最近我们监测到一个使用FormBook 恶意软件最新版本的攻击活动，该恶意软件自 2016 年以来一直存在。过去几年已经有一些关于 FormBook 的分析，包括对 macOS 的扩展支持。FormBook 以高度混淆的有效载荷和使用文档 CVE 漏洞而闻名。直到最近，FormBook利用较多的还是CVE-2017-0199漏洞，但新变种FormBook以支持最近最新的office 365 0 day漏洞（CVE-2021-40444）。

当浏览器的开发者工具打开时，f()函数的执行将打开一个新的虚拟机 (VM) 窗口，其中包含一个带有调试器语句的匿名函数。这会将焦点从源代码窗口转移到包含匿名函数的新 VM 窗口。单步执行 JavaScript 代码将不断执行匿名函数。这会阻止 JavaScript 代码的调试，因为单步执行 JavaScript 代码会在循环中执行调试器语句。

根据我们的分析，该活动使用带有恶意 Word 文档附件的电子邮件作为入口向量。在这次攻击中，两层 PowerShell 脚本被用来传送已知的 FormBook 恶意软件。此版本的 FormBook 与之前的版本相同；但是，攻击链中引入了一些特定的更改。此活动中的最终 FormBook 恶意软件与早期活动中使用并由其他研究人员分析的恶意软件相匹配。该样本也对应于 FormBook 4.1 版，我们在解密命令和控制 (C&C) 通道信息后发现了该版本。这可以在图 5 中看到。

（编辑：ASP站长网）