作者：亚当·马丁和纳撒尼尔·萨吉班达

假期是一个欢乐和放松的时刻，但它通常会带来大量商务企业邮箱，从休假批准到安排带薪休假。 Cofense 网络钓鱼防御中心 (PDC) 最近截获了一封伪装成合法假期批准通知的恶意网络钓鱼企业邮箱。这封企业邮箱伪装成正式的人力资源通信，利用假期计划的紧迫性和重要性来诱骗收件人点击恶意链接。这使得恶意行为者可以通过 FormBook 恶意软件窃取敏感信息。

图 1：伪装成 HR 通知的网络钓鱼企业邮箱内容

如图1所示，钓鱼邮件的目的是 “所有员工强制休假通知” 用专业语言和季节性相关性来模仿人力资源沟通。该组织确认受益人已休假 “得到正式认可的”包含一个链接（“2024 年 12 月休假/休假批准清单、日期和持续时间”）查看批准日期并提示用户通过登录应用程序获取更多详细信息 “中央人力资源管理系统”。 尽管这是一封设计精良的企业邮箱，但仔细检查后会发现一些危险信号。该企业邮箱被标记为外部 SENDER，明确表明该企业邮箱不是来自该公司。这是因为发件人的企业邮箱地址与组织的域不匹配。将鼠标悬停在链接上（如图 2 所示）， 发送网格– 显示包装的 URL，该 URL 重定向到托管恶意软件的恶意域。单击封装的链接将进一步重定向到 不和谐应用程序 URL（图 3），恶意软件在其中托管并下载。

图2：嵌入的恶意链接

图 3：重定向到 Discordapp URL 以下载附件

技术分析：静态属性

来自 AV 提供商的 VT 标签

图 4：恶意软件样本的 VirusTotal 检测和文件哈希

对此示例的各种防病毒供应商检测表明它是通用 AutoIt 注入器或 FormBook 示例。以下是分配给恶意软件系列的特定组成/属性的供应商标签示例。

• Win32/Injector.Autoit.GQO 的变体
• 注入器变种AutoIt
• 木马：Win32/AutoitInject.HNA!MTB
• 木马.Win32.FORMBOOK.YXEKUZ

初始下载

一旦受害者访问恶意链接，.zip 文件就会被下载到默认下载目录。如图 5 所示，潜在受害者可能认为 .zip 文件包含与圣诞节期间员工 PTO 通知相关的 .xls 文件。

图 5：.zip 文件下载到默认下载目录

但是，图 6 显示 .zip 文件包含可执行文件。

图 6：解压后，.zip 文件包含可执行文件负载

文件识别

分析外部上传文件的第一步是识别文件类型。此识别过程至关重要，因为恶意下载通常会伪装成与实际不同的文件类型（即实际上是可执行文件的伪造 PDF 文件）。如下图 7 所示，我们的强制休假通知是 AutoIt 编译的可执行文件。 AutoIt 与许多其他合法软件开发和脚本工具一样，已被用作通过将脚本嵌入到其他有用的框架中来执行恶意操作的方法。在本例中，该示例使用 AutoIt 作为父进程将脚本注入目标进程（在本例中为 Utilman.exe）。然后使用最终的注入目标进程在内存中执行FormBook。

图 7：该示例是由 AutoIt 编译的可执行文件

导入表

在分析图 8 中恶意软件导入的库时，有迹象表明会有 InternetReadFile 和 InternetOpenW 等 API 调用的网络流量，这是正常的，因为 FormBook/Xloader 使用 HTTP 进行 C2 交互。

图 8：示例导入的网络 API 调用

此外，还导入了各种设备挂钩和 I/O 监视调用，例如 GetKeyboardLayout、VkKeyScanW 和 SetCapture（图 9），表明此处使用了 MITRE T1056（输入捕获）技术。

图 9：用于设备挂钩和 I/O 监控的各种导入 API 调用

检查调试器

IsDeguggerPresent API 调用是反扫描技术的重要组成部分，Formbook 也不例外地使用它来防止扫描。

• 如果在 IsDebuggerPresent 调用后检测到调试器（eax 不为 0），则执行跳转到 0x00471CC1。
• 该路径显示一个 留言框包含以下详细信息：
  • 图例：源自byte_4B28F4
  • 信息： “这是第三方编译的 AutoIt 脚本。”
  • 这可以通过伪装成无害的脚本来隐藏恶意软件的真实意图，并阻止分析人员在不禁用调试器检查的情况下进一步分析样本。
• 显示消息框后，程序转到 0x004B28F4，在那里进行清理并终止。
• 如果未检测到调试器（eax 为 0），则继续执行而不显示消息框。

此机制会破坏调试工作并尝试阻止恶意软件分析。

图 10：恶意软件使用调试器检测功能来阻止分析

图 11：如果恶意软件检测到调试器，它将显示一条误导性消息并退出，而不执行任何进一步的有效负载。

技术分析：动态个股

执行 FormBook 二进制文件时，它首先执行初始侦察和设置任务，例如解包、逃避检测和识别要注入的目标。它会使用explorer.exe来选择所需的感染进程（在本例中为svchost.exe），然后通过利用Windows API调用生成svchost.exe，最后将其一些恶意代码注入其中。此步骤使用 svchost.exe 作为中间或“暂存”进程，因为它是受信任的 Windows 服务，不太可能发出警报。可以在下面看到处于暂停状态的情况。

图 12：该示例使用 svchost.exe 作为中间进程，将恶意负载注入到

• 然后 Formbook 生成 UtilMan.exe（或将代码注入到已运行的实例中）。
• 最后一步的有效负载将传输到 UtilMan.exe，该程序现在充当恶意活动的主要主机。

恶意活动驻留在 UtilMan.exe 中

• 所有主要恶意操作（例如凭据收集、键盘记录和数据泄露）都是通过 UtilMan.exe 执行的。
• 该进程继承了系统进程的合法性，增加了安全软件检测的难度。

从内存中提取的 Utilman.exe 字符串显示 Formbook 正在收集系统密码以用于以后的数据泄露。

图 13：从 Utilman.exe 中提取的字符串

使用的 Tab 策略

结论

这封年终主题的网络钓鱼企业邮箱展示了网络犯罪分子如何利用信任、紧迫性和季节性相关性来渗透组织。尽管该企业邮箱看似合法，但仔细检查外部发件人的警告、可疑链接和通用格式后发现其恶意意图。在这种情况下，攻击者打算部署 Formbook，这是一种危险的信息窃取程序，能够收集凭据、记录击键并窃取敏感数据。这些恶意软件会攻击毫无戒心的受害者，他们点击恶意链接或下载受感染的文件。

为了保护您自己和您的组织，向员工传授以下最佳实践非常重要：
– 检查企业邮箱来源：确保发件人域与官方渠道匹配。
– 单击前检查链接：将鼠标悬停在超链接上以确认其合法性。
– 警惕紧急请求：暂停并评估推送立即访问的企业邮箱。

定期进行培训以识别网络钓鱼尝试和 Formbook 等恶意软件威胁，确保安全无忧的季节。

首席信息官