Formbook 恶意软件攻击已出现,利用武器化 ZIP 压缩包和多层脚本绕过安全控制。
攻击始于包含 ZIP 文件的钓鱼邮件,这些压缩包中藏有伪装成付款确认文档的 VBS 脚本。
这些脚本会触发一系列事件,在受害者系统上下载并安装恶意软件。这种多阶段攻击使安全工具和分析师更难检测。
攻击流程如下:受害者收到带 ZIP 附件的邮件,压缩包内是名称类似 “Payment_confirmation_copy_30K__20251211093749.vbs ” 的 VBS 文件,看似合法业务文档。
打开该 VBS 脚本后,会启动精心设计的感染过程。恶意软件使用 VBS、PowerShell 等多种脚本语言,最终通过可执行文件在目标机器上安装 Formbook。
互联网风暴中心(Internet Storm Center)的安全研究人员发现,在 65 款杀毒软件中,仅有 17 款能检测到初始 VBS 文件。
低检出率表明其混淆技术极为有效。恶意软件作者设计每个阶段时都刻意规避常见安全检查,增加安全团队的分析难度。
多阶段感染机制
VBS 脚本通过多种手段隐藏真实目的。首先,它会创建延迟循环,等待 9 秒后再执行恶意操作。
这一简单技巧可规避沙箱系统对“即时可疑行为”的检测:
Dim Hump
Hump = DateAdd("s", 9, Now())
Do Until (Now() > Hump)
Wscript.Sleep 100
Frozen = Frozen + 1
Loop 随后,脚本通过拼接多个文本片段构建 PowerShell 命令,甚至将“PowerShell”一词用数字编码隐藏而非明文显示。创建 PowerShell 脚本后,VBS 文件通过 Shell.Application 对象执行该脚本。
此 PowerShell 脚本从 Google Drive 下载另一个载荷并保存到用户的 AppData 文件夹。最后一步是启动 msiexec.exe ,并将 Formbook 恶意软件注入其中。
发表评论
您还未登录,请先登录。
登录