O FormBook é um trojan de roubo de informação, e tem sido difundido com a ajuda de campanhas baseadas no novo vírus fatal, segundo investigadores da MalwareHunterTeam.
A campanha em questão usa emails que fingem ser enviados por membros da Organização Mundial de Saúde (em inglês, WHO), sendo que as mensagens distribuem um downloader de malware que instala esse mesmo trojan. Os mesmos vêm com um ficheiro em zip com o assunto "Coronavírus Updates" (em português, atualizações do Coronavírus).
É perguntado ao utilizador, aquando da abertura do email, se deseja visualizar o conteúdo em browser ou no email, apresentando logo o conteúdo do mesmo. Segundo a investigação levada a cabo pelos especialistas, o email a partir do qual é mandado é corona-virus@caramail.com, que aparenta ter sido feito para propósitos de phishing. O objetivo é levar as vitimas a abrir o ficheiro em zip, que inclui um pdf "MY-HEALTH.PDF".
O payload final é o trojan supracitado, e que era usada para propósitos de ciber-espionagem, como outro spyware capaz de extrair dados de sessões HTTP, teclas premidas pelo utilizador e conteúdos em clipboard. O formbook também é capaz de receber comandos de um servidor de Comando e Controlo (C&C) de forma a realizar outras atividades maliciosas, como o download de mais payloads.
Técnicas de prevenção destes emails com o assunto do coronavírus:
- Evitar clicar em links de emails não solicitados e ter cuidado com os ficheiros em anexo.
- Usar fontes confiáveis - como websites do governo - para informação atualizada e real sobre o vírus COVID-19
- Não revelar informação pessoal ou financeira por email, não responder a solicitações de emails que peçam essa informação
- Verificar se de facto uma instituição de caridade existe antes de fazer qualquer tipo de donativo
- Em Portugal, pode acompanhar o que acontece relacionado com o COVID-19 em https://www.dgs.pt/corona-virus.aspx
- No caso dos EUA, os utilizadores utilizam a página https://www.cisa.gov/coronavirus, que oferece indicações sobre gestão do risco associado ao novo vírus
Mais informações: https://www.bleepingcomputer.com/news/security/data-stealing-formbook-malware-preys-on-coronavirus-fears/