Un nouveau malware nommé FormBook cible des entreprises œuvrant dans le secteur de la défense, de l’aéronautique et de l’industrie aux États-Unis et en Corée du Sud

Des chercheurs en sécurité chez FireEye ont découvert la propagation d’un maliciel connu sous le nom de FormBook. Ce dernier est conçu pour voler des informations sensibles.

FormBook a ciblé les infrastructures critiques appartenant à des organisations aérospatiales et des industries ainsi que des entreprises partenaires des structures de défense aux États-Unis et en Corée  du Sud.

FormBook a été repéré sur plusieurs campagnes de distribution massives ciblant les États-Unis avec des emails contenants des fichiers PDF, DOC ou XLS malveillants, et en Corée du Sud avec des emails contenant des fichiers d’archive malveillants (ZIP, RAR, ACE et ISOs).

Selon les chercheurs de FireEye, ce maliciel fait partie des programmes malveillants  capable de dérober des données, de voler le contenu du presse-papiers, les saisies clavier des utilisateurs ainsi que les données relatives aux sessions HTTP.

Une fois installé sur le poste, il peut également exécuter des commandes depuis et vers un serveur de commande/contrôle (C2) et notamment télécharger d’autres fichiers malveillants, lancer des processus, éteindre ou redémarrer le système, voler des cookies ainsi que des mots de passe locaux.     

FormBook se propage facilement et représente une menace de sécurité réelle pour ses cibles.

Il est disponible à la vente sur les marchés du darkweb depuis 2016, est abordable et ne requiert pas de connaissances technique particulières pour déclencher une attaque. De plus, il a récemment été mis à jour pour y inclure un cheval de Troie nommé NanoCore permettant d’obtenir un accès à distance sur les postes.

Suite aux attaques sur les États-Unis et la Corée du Sud, l’attaque a également été identifiée dans d’autres pays comme la France, l’Australie, l’Allemagne, la Hollande, la Russie et le Royaume Uni.