Formbook

Uma recente campanha de malware ilustra o uso contínuo de cadeias de infecção em múltiplas etapas para contornar controles de segurança e entregar o ladrão de informações FormBook. O ataque começa com um e-mail contendo um anexo ZIP, que se desdobra em uma sequência complexa de scripts ofuscados. O arquivo ZIP inicial contém um script em Visual Basic (VBS) que, apesar de sua aparência simples, possui camadas de ofuscação para ocultar seu verdadeiro propósito. O script inicia um loop de atraso e constrói um comando PowerShell, que é executado em um novo processo. A camada PowerShell é fortemente ofuscada, utilizando funções específicas para reconstruir e executar fragmentos de código malicioso. O script tenta baixar o próximo payload de um link do Google Drive, que é então injetado em um processo legítimo, resultando na execução de uma variante do FormBook. Este malware é projetado para coletar credenciais, capturas de tela e pressionamentos de tecla, comunicando-se com um servidor de comando e controle. A campanha destaca a importância de não limitar a engenharia reversa a binários executáveis, pois infecções modernas dependem de scripts leves e processos confiáveis para entregar payloads poderosos e furtivos.

Desde abril de 2025, um grupo de hackers desconhecido chamado ComicForm tem realizado uma campanha de phishing direcionada a organizações na Bielorrússia, Cazaquistão e Rússia, conforme análise da empresa de cibersegurança F6. Os alvos incluem setores industriais, financeiros, de turismo, biotecnologia, pesquisa e comércio. Os ataques são realizados por meio de e-mails com assuntos como ‘Aguardando documento assinado’ e ‘Fatura para pagamento’, que incentivam os destinatários a abrir arquivos compactados contendo executáveis maliciosos disfarçados de documentos PDF. Esses executáveis, projetados para evitar a detecção, instalam um malware chamado Formbook, que é utilizado para roubo de dados. Além disso, a análise revelou que o grupo também direcionou ataques a uma empresa no Cazaquistão e a um banco bielorrusso. A F6 identificou e bloqueou e-mails de phishing enviados a empresas de manufatura na Rússia, que redirecionavam os usuários para páginas falsas de login, visando roubar credenciais. O uso de e-mails em inglês sugere que o grupo pode estar mirando organizações em outros países, aumentando a preocupação com a segurança cibernética na região.