Исследователи безопасности из компании FireEye зафиксировали кампанию с использованием вредоносного ПО FormBook, нацеленную преимущественно на аэрокосмический, военный и промышленный сектор США, Южной Кореи, Индии и России.
По словам экспертов, атакующих сложно идентифицировать из-за особенностей модели распространения вредоноса. FormBook предлагается в рамках модели "Вредоносное ПО-как-услуга" (Malware-as-a-Service), которую может заказать любой желающий, предварительно оформив подписку на неделю ($29), месяц ($59) или 3 месяца ($99), а также купить Pro-версию за $299.
Вредоносное ПО распространяется через различные форматы документов, включая PDF, DOC/XLS и архивы, содержащие вредоносную ссылку, макрос или исполняемую полезную нагрузку. Вредоносный PDF замаскирован под уведомление служб курьерской доставки DHL и FedEx о получении посылки.
Программа внедряется в различные процессы для регистрации нажатия клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP. Она также может выполнять команды, поступающие с C&C-серверов. Вредоносное ПО можно настроить на загрузку и выполнение файлов, запуск процессов, завершение работы и перезагрузку системы, а также хищение файлов cookie и локальных паролей.
По словам исследователей, FormBook эксплуатирует уже известные уязвимости, не используя какую-либо одну определенную.
Большая часть атак с использованием FormBook приходится на США (71%), Южную Корею (31%), Индию (17%) и Россию (5%).

Источник: securitylab.ru