FormBook richt zich op Windows-systemen en wordt al jaren aangeboden als malware-as-a-service. Uit onderzoek van WatchGuard blijkt nu dat aanvallers hun aanpak hebben verbeterd. Ze werken niet langer met één vaste methode, maar combineren meerdere stappen en verschillende manieren om systemen te besmetten. Daardoor werken traditionele beveiligingsmaatregelen minder goed. In het ene geval misbruiken ze gewone software om een schadelijk bestand te laden. In het andere geval gebruiken ze een zwaar versleuteld script dat uiteindelijk FormBook installeert.

DLL side-loading

Bij de eerste methode gebruiken aanvallers een techniek die bekendstaat als DLL side-loading. De bijlage, bijvoorbeeld een RAR-bestand, bevat een legitiem programma. Daarnaast zit er een schadelijk DLL-bestand in met dezelfde naam als een bestand dat het programma verwacht. Zodra het programma start, laadt het niet het echte bestand, maar de kwaadaardige versie. Die zet vervolgens de FormBook-payload in een tijdelijke map en voert die uit. Omdat de aanval gebruikmaakt van legitieme software en vertrouwde Windows-tools zoals PowerShell, is deze lastiger te herkennen.

Versleuteld scriptbestand

Bij de tweede methode ontvangen slachtoffers een bestand dat lijkt op een pdf, maar in werkelijkheid een JavaScript-bestand is. Zodra dit wordt geopend, zet het script via meerdere stappen aanvullende bestanden klaar en roept het PowerShell aan om de volgende fase van de infectie te starten. Daarbij worden technieken als AES-encryptie, Base64-codering en een aangepaste loader gecombineerd om de uiteindelijke payload uit te voeren. Volgens WatchGuard is die loader eerder al in verband gebracht met andere malwarefamilies, maar werd hij in deze campagne gebruikt om FormBook te verspreiden.

Zorgwekkende ontwikkelingen

WatchGuard vindt het vooral zorgelijk dat aanvallers voor dezelfde malware meerdere besmettingsroutes gebruiken. Door gewone tools, versleutelde scripts en aangepaste loaders te combineren, ontstaat een aanval die moeilijk te herkennen is. Organisaties kunnen daardoor niet meer alleen vertrouwen op het opsporen van losse bestanden of bekende malware-signaturen.

Internationale waarnemingen

WatchGuard heeft deze campagnes al gezien bij bedrijven in Griekenland, Spanje, Slovenië, Bosnië, Kroatië en verschillende landen in Latijns-Amerika. De dreiging is dus al actief in meerdere regio's en talen. Volgens het bedrijf laat dat zien hoe makkelijk deze aanpak zich verder kan verspreiden.

Voor Nederlandse bedrijven is dat een duidelijke waarschuwing. De gebruikte onderwerpen in de phishingmails, zoals betalingen, orders en offertes, sluiten ook hier goed aan op dagelijkse processen. Daardoor is de kans aanwezig dat vergelijkbare mails ook in Nederland opduiken en echt lijken. Omdat de aanval bovendien misbruik maakt van vertrouwde software en systeemprocessen, bestaat het risico dat securityteams een besmetting pas laat ontdekken.

Afwijkend gedrag opsporen

Martijn Nielen, senior sales engineer bij WatchGuard Technologies, zegt daarover: "Organisaties moeten niet alleen letten op bekende malware-signaturen of losse indicatoren. Juist bij dit soort aanvallen is het belangrijk om signalen uit e-mail, endpoints en netwerkactiviteit centraal te correleren, zodat afwijkend gedrag sneller zichtbaar wordt en adequaat kan worden opgevolgd. In de praktijk zien we dat organisaties daarbij baat hebben bij zoveel mogelijk geautomatiseerde monitoring, analyse en respons, en waar nodig extra ondersteuning van een externe securitypartner.