Al parecer, ciberdeincuentes sofisticados cambian la forma en que conducen sus ataques cibernéticos. En lugar de invertir en desarrollos de vulnerabilidades de día cero y malware; algunos grupos han comenzado a utilizar malware prefabricado como si fueran script kiddies.

Posiblemente, esto podría ser un movimiento inteligente para evitar que hackers patrocinados por el estado sean descubiertos fácilmente.

Investigadores de diversas firmas de seguridad, incluyendo Arbor Networks y FireEye, descubrieron una serie de campañas de malware dirigidas a los sectores aeroespaciales, defensa y manufacturero en varios países, incluyendo a los Estados Unidos, Tailandia, Corea del Sur y la India.

¿Qué hay en común? Todas estas campañas de ataques, conducidas por varios grupos de hackers, eventualmente tenían la misma información del malware FormBook utilizado en los sistemas objetivo.

FormBook no es más que un “malware-as-a-service” o malware como servicio, que es un malware que roba información bastante publicitado en varios foros desde principios del 2016.

Cualquiera puede rentar FormBook por solo $29 a la semana o $59 al mes, lo cual ofrece una amplia gama de características avanzadas para espiar los equipos objetivo, incluyendo keyloggers, robo de contraseñas, sniffer de red, capacidad para tomar capturas de pantalla, robo de información de formularios y mucho más.

De acuerdo con investigadores, atacantes en cada campaña usan correos a distribuir el malware FormBook como un archivo adjunto de diferentes formas, incluyendo PDF maliciosos, vínculos de descarga, archivos DOC y XLS con macros maliciosas y archivos (ZIP, RAR, ACE e ISO) conteniendo payloads ejecutables.

Una vez instaladas en el objetivo, el malware se inyecta en varios procesos e inicia a capturar las pulsaciones del teclado, extraer las contraseñas almacenadas y otros datos sensibles de múltiples aplicaciones, incluyendo Google Chrome, Firefox, Skype, Safari, Vivaldi, Q-360, Microsoft Outlook, Mozilla Thunderbird, 3D-FTO, FileZilla y WinSCP.

FormBook envía continuamente los datos robados a un command and control remoto (C2) que también permite al atacante ejecutar comandos en el sistema objetivo, incluyendo iniciar procesos, apagar y reiniciar el sistema y robar cookies.

De acuerdo a los investigadores, FormBook también fue visto descargando otras familias de malware como NanoCore en las últimas semanas.

Los atacantes pueden incluso utilizar la información obtenida de forma satisfactoria por FormBook para futuras actividades cibercriminales incluyendo robo de identidad, phishing, fraude bancario y extorsión.

FormBook no es un malware sofisticado ni tampoco es difícil de detectar, la mejor forma de protegerse es utilizar un buen software antivirus y tener el sistema siempre acutalizado.