Se ha descubierto una nueva versión del malware Formbook, la cual aprovecha una nueva vulnerabilidad 0day en Office 365.
La versión actualizada de FormBook
Durante mucho tiempo, FormBook ha hecho uso de la vulnerabilidad CVE-2017-0199, pero según nuevos estudios el malware está haciendo uso del CVE-2021-40444
Flujo del malware
Esta campaña hace uso de un documento word malicioso adjunto, el cual mediante dos capas de powershell despliega el malware.
- La primera etapa descarga la segunda, que se almacena como un archivo adjunto en Discord, para evitar protecciones de red
- En la siguiente etapa se descarga desde Discord (usando una URL ofuscada) , este archivo es formateado en Base64
- Por último, se descarga la última versión, la cual es similar a la usada en campañas pasadas, se identifica como FormBook versión 4.1
Conclusión
Las vulnerabilidades 0day son populares entre los malware mas conocidos, lo que deriva en graves problemas de seguridad, estos ataques son, por su forma, irremediables en su mayoría aunque no por ello se deben obviar.