Watch­Guard Techno­lo­gies waarschuwt voor nieuwe phishing­cam­pagnes die de bekende FormBook-malware verspreiden. Het risico zit volgens het bedrijf niet alleen in de malware zelf, maar ook in de manier waarop aanval­lers te werk gaan. Ze gebruiken legitieme software en slimme versleu­te­ling om bevei­li­ging te ontwijken.

FormBook richt zich op Windows-systemen en wordt al jaren aange­boden als malware-as-a-service. Uit onder­zoek van Watch­Guard blijkt nu dat aanval­lers hun aanpak hebben verbe­terd. Ze werken niet langer met één vaste methode, maar combi­neren meerdere stappen en verschil­lende manieren om systemen te besmetten. Daardoor werken tradi­ti­o­nele bevei­li­gings­maat­re­gelen minder goed. In het ene geval misbruiken ze gewone software om een schade­lijk bestand te laden. In het andere geval gebruiken ze een zwaar versleu­teld script dat uitein­de­lijk FormBook installeert.

DLL side-loading

Bij de eerste methode gebruiken aanval­lers een techniek die bekend­staat als DLL side-loading. De bijlage, bijvoor­beeld een RAR-bestand, bevat een legitiem programma. Daarnaast zit er een schade­lijk DLL-bestand in met dezelfde naam als een bestand dat het programma verwacht. Zodra het programma start, laadt het niet het echte bestand, maar de kwaad­aar­dige versie. Die zet vervol­gens de FormBook-payload in een tijde­lijke map en voert die uit. Omdat de aanval gebruik­maakt van legitieme software en vertrouwde Windows-tools zoals PowerS­hell, is deze lastiger te herkennen.

Versleuteld scriptbestand

Bij de tweede methode ontvangen slacht­of­fers een bestand dat lijkt op een pdf, maar in werke­lijk­heid een JavaScript-bestand is. Zodra dit wordt geopend, zet het script via meerdere stappen aanvul­lende bestanden klaar en roept het PowerS­hell aan om de volgende fase van de infectie te starten. Daarbij worden technieken als AES-encryptie, Base64-codering en een aange­paste loader gecom­bi­neerd om de uitein­de­lijke payload uit te voeren. Volgens Watch­Guard is die loader eerder al in verband gebracht met andere malwa­re­fa­mi­lies, maar werd hij in deze campagne gebruikt om FormBook te verspreiden.

Zorgwekkende ontwikkelingen

Watch­Guard vindt het vooral zorge­lijk dat aanval­lers voor dezelfde malware meerdere besmet­tings­routes gebruiken. Door gewone tools, versleu­telde scripts en aange­paste loaders te combi­neren, ontstaat een aanval die moeilijk te herkennen is. Organi­sa­ties kunnen daardoor niet meer alleen vertrouwen op het opsporen van losse bestanden of bekende malware-signaturen.

Internationale waarnemingen

Watch­Guard heeft deze campagnes al gezien bij bedrijven in Grieken­land, Spanje, Slovenië, Bosnië, Kroatië en verschil­lende landen in Latijns-Amerika. De dreiging is dus al actief in meerdere regio’s en talen. Volgens het bedrijf laat dat zien hoe makke­lijk deze aanpak zich verder kan verspreiden.

Voor Neder­landse bedrijven is dat een duide­lijke waarschu­wing. De gebruikte onder­werpen in de phishing­mails, zoals betalingen, orders en offertes, sluiten ook hier goed aan op dagelijkse processen. Daardoor is de kans aanwezig dat verge­lijk­bare mails ook in Neder­land opduiken en echt lijken. Omdat de aanval boven­dien misbruik maakt van vertrouwde software en systeem­pro­cessen, bestaat het risico dat securi­ty­teams een besmet­ting pas laat ontdekken.

Afwijkend gedrag opsporen

Martijn Nielen, senior sales engineer bij Watch­Guard Techno­lo­gies, zegt daarover: “Organi­sa­ties moeten niet alleen letten op bekende malware-signa­turen of losse indica­toren. Juist bij dit soort aanvallen is het belang­rijk om signalen uit e‑mail, endpoints en netwerk­ac­ti­vi­teit centraal te corre­leren, zodat afwij­kend gedrag sneller zicht­baar wordt en adequaat kan worden opgevolgd. In de praktijk zien we dat organi­sa­ties daarbij baat hebben bij zoveel mogelijk geauto­ma­ti­seerde monito­ring, analyse en respons, en waar nodig extra onder­steu­ning van een externe securitypartner.”