FormBook abusa de nueva vulnerabilidad zero day en Office 365

Recientemente, se descubrió una nueva campaña de malware utilizando una nueva versión del malware FormBook. La variante, identificada tanto por Microsoft como por Trend Micro, explota una vulnerabilidad de día cero descubierta recientemente en Office 365. Durante mucho tiempo, FormBook ha sido conocido por explotar la falla CVE-2017-0199, pero las versiones recientes del malware se […]

Recientemente, se descubrió una nueva campaña de malware utilizando una nueva versión del malware FormBook. La variante, identificada tanto por Microsoft como por Trend Micro, explota una vulnerabilidad de día cero descubierta recientemente en Office 365.

Durante mucho tiempo, FormBook ha sido conocido por explotar la falla CVE-2017-0199, pero las versiones recientes del malware se actualizan para abusar de una vulnerabilidad reciente de día cero de Office 365 (CVE-2021-40444).

Los desarrolladores de FormBook han reescrito su exploit original y han utilizado la base de código inicial para implementar balizas Cobalt Strike.
En un esfuerzo continuo, FormBook utiliza un formato “Destino” diferente dentro del documento [.] Xml [.] Rels. Este nuevo formato está destinado a evitar las detecciones con el uso de las opciones de Target.

La vulnerabilidad puede explotarse incluso si la URL se mezcla utilizando rutas transversales de directorio y opciones vacías para Target. Además, después de la explotación, Word envía una solicitud al servidor como captura de red.

Los desarrolladores de FormBook también han agregado un mecanismo de ofuscación adicional para el código de explotación para brindar protección adicional. Ha agregado dos llamadas a una función para el comportamiento anti-depuración para evitar la ingeniería inversa.

La campaña utiliza un correo electrónico cargado con un documento adjunto malicioso de Word como vector de ataque inicial. Se utilizan dos capas de scripts de PowerShell para implementar el malware FormBook.
La primera etapa descarga la segunda, que se guarda como un archivo adjunto alojado en Discord. Esto posiblemente se haga para evitar la protección de la red.

La siguiente etapa se descarga de Discord (usando una URL ofuscada). Este archivo adjunto descargado es la segunda capa de PowerShell (formateada en Base64).

La versión final implementada en la campaña reciente también es similar a la utilizada en campañas anteriores. La versión se identifica como FormBook versión 4.1.

Las fallas de día cero ya son populares entre los actores de amenazas y abusar de ellas generalmente tiene graves consecuencias. Por lo tanto, los expertos sugieren seguir un programa de administración de parches adecuado y utilizar soluciones antimalware confiables.