Peneliti keamanan dari beberapa perusahaan keamanan, termasuk Arbor Networks dan FireEye, secara independen menemukan serangkaian kampanye malware yang terutama menargetkan kedirgantaraan, kontraktor pertahanan dan sektor manufaktur di berbagai negara, termasuk Amerika Serikat, Thailand, Korea Selatan dan India.
Semua kampanye serangan ini, yang dilakukan oleh berbagai kelompok hacking, menggunakan malware pencuri password yang sama -dijuluki FormBook– pada sistem yang ditargetkan.
FormBook tidak lain adalah “malware-as-as-service,” yang merupakan malware pencuri data terjangkau yang telah diiklankan di berbagai forum hacking sejak awal 2016.
Siapa pun dapat menyewa FormBook hanya dengan $29 per minggu atau $59 per bulan, yang menawarkan berbagai kemampuan mata-mata lanjutan pada mesin target, termasuk keylogger, pencuri kata sandi, sniffer jaringan, pengambilan tangkapan layar, pencuri data formulir web dan banyak lagi.
Menurut para periset, penyerang di setiap kampanye menggunakan email untuk mendistribusikan malware FormBook sebagai lampiran dalam berbagai bentuk file, termasuk PDF dengan tautan unduhan berbahaya, file DOC dan XLS dengan makro berbahaya, dan file arsip (ZIP, RAR, ACE, dan ISO) yang berisi muatan EXE.
Setelah diinstal pada sistem target, malware menginjeksikan dirinya ke dalam berbagai proses dan mulai menangkap keystroke, mengekstrak kata sandi yang tersimpan serta data sensitif lainnya dari beberapa aplikasi, termasuk Google Chrome, Firefox, Skype, Safari, Vivaldi, Q-360, Microsoft Outlook, Mozilla Thunderbird, 3D-FTP, FileZilla dan WinSCP.
FormBook terus mengirimkan semua data yang dicuri ke server command-and-control (C2) yang juga memungkinkan penyerang untuk menjalankan perintah lain pada sistem yang ditargetkan, termasuk proses awal, shutdown, reboot sistem, dan mencuri cookies.
Menurut para peneliti, FormBook juga terlihat mengunduh keluarga malware lainnya seperti NanoCore dalam beberapa minggu terakhir.
Penyerang bahkan dapat menggunakan data yang berhasil dicuri oleh FormBook untuk kegiatan cyber crime lebih lanjut termasuk pencurian identitas, operasi phishing lanjutan, bank fraud dan pemerasan.
FormBook tidak canggih juga tidak sulit untuk dideteksi, jadi cara terbaik untuk melindungi diri dari malware ini adalah dengan tetap menyimpan perangkat lunak antivirus yang baik di sistem serta selalu tetap up-to-date.
