Formbook对macOS攻击的分析

Formbook是目前最流行的恶意软件之一,它已经活跃了5年多了。Check Point在2020年12月报告称,Formbook影响了全球4%的组织,并进入了最流行恶意软件的前三名。

根据 AnyRun Malware Trends Tracker 的数据,Formbook 在 2020 年最流行的恶意软件家族列表中排名第四。

1.webp.jpg

Formbook 是一个信息窃取程序,它从各种 Web 浏览器收集凭据,收集屏幕截图、监控和记录击键,并可以根据从命令和控制 (C&C) 服务器收到的命令下载和执行文件。该代码是用 C 语言编写的,带有汇编插入,并包含许多使研究人员更难分析的技巧。

一开始Formbook只是一个简单的键盘记录程序。后来Formbook化身为XLoader,XLoader能够在macOS上操作。

Formbook的技术迭代过程

2016年2月13日,地下论坛上出现了一个帖子,提供了Formbook的最早版本(研究人员可以称之为测试版本)出售。

2.webp.jpg

虽然第一个销售线索出现在2016年2月13日,但Formbook的样本最早出现在AnyRun上。

3.webp.jpg

研究人员假设ng-Coder是一个男性。

4.png

ng-Coder于2015年10月27日加入地下黑客论坛。

5.webp.jpg

2016 年 5 月 9 日,在发布第一个销售线索三个月后,Formbook v.0.3 开始销售。

6.webp.jpg

Formbook被宣传为支持多种功能的产品:

7.webp.jpg

ng-Coder使用一些来黑话来描述Formbook是如何运行的,例如,使用位置独立代码(shellcode)将恶意软件注入合法的系统进程并启动shellcode执行。

列出的其他功能还包括网络流量嗅探、键盘记录、剪贴板监控和近100个应用程序的密码提取,包括浏览器、信使、FTP和电子邮件客户端。

不同类型的Formbook订阅有不同的价格:

8.webp.jpg

ng-Coder提供的Formbook定价

ng-Coder提供了许多不同的源代码保护来支持Formbook。例如,Net-Protector是一个跨平台加密服务,Windows可执行文件的价格为100美元,macOS可执行文件的价格为200美元:

9.webp.jpg

Net-Protector标志

ng-Coder对自己的创作非常有信心,他提出,如果一个可执行文件在加密后的前30天被任何杀毒软件检测到,他将免费重新加密它:如果加密的PE文件在第一个加密后30天内被杀毒软件标记,研究人员将免费重新加密相同的加密SHA1。

其他保护程序的示例包括 .NET 和 Delphi 上加密解决方案的共享源代码。

2017年10月6日,Formbook突然停止销售,给出的理由是它在垃圾邮件活动中的使用:

10.webp.jpg

Formbook的开发者不希望他的产品被用于电子邮件活动,并禁止了所有这样做的客户。

2018年5月27日,ng-Coder在论坛上发表了他的最后一篇公开帖子,他对一个与Formbook无关的问题提供了技术上的回答。从那以后他就再没有任何活动了。

正如研究人员将看到的,虽然Formbook的销售停止了,但它的活动仍在继续。不仅那些购买了恶意软件并将其托管在自己服务器上的用户可以继续使用它,而且ng-Coder也可以使用Formbook。

研究人员发现ng-Coder可能有他自己的创作计划。研究人员分析了链接到 ng-Coder 电子邮件地址“[email protected][.com”的域,发现这些域被用于 Formbook 配置中,用于标记为“private”、“list”和“zog”的特定活动。我们在 Formbook 恶意软件中发现了 16 个唯一的 C&C URL,它们指向 13 个不同的子活动。

11.png

所有列出的域都有共同的特征,它们都由 GoDaddy 注册商注册的:

12.webp.jpg

 GoDaddy注册商出现在域的详细信息中

他们都分享了有关注册他们的人的相同详细信息:

13.webp.jpg

ng-Coder提供的注册域的详细信息

但Formbook活动并没有就此停止,例如,在2020年5月,研究人员发现GuLoader释放了一个Formbook样本。该报告于2020年6月提交给VirusTotal:

14.webp.jpg

GuLoader在2020年5月释放的Formbook样本

此示例中的活动名称为“private”,主域由 ng-Coder (ryandeby[.com) 注册。

XLoader:经过时间验证的技巧在新环境中重新应用

2020年2月6日,XLoader开始出现在地下论坛中。

15.webp.jpg

Formbook 和 XLoader 共享相同的代码库,并且它们之间还有其他联系。

16.webp.jpg

2020年10月20日,XLoader在与销售Formbook相同的论坛上出售。

17.webp.jpg

论坛上发布的XLoader

注意:PC 和 Mac 的 XLoader 恶意软件不应与 Android 的 XLoader 恶意软件混淆,后者于 2019 年首次被发现。

这种新恶意软件最令人兴奋的一点是它能够在macOS上运行,2018 年大约有 2 亿用户在使用 macOS,这无疑是一个充满诱惑力的新市场。

18.webp.jpg

 Mac年销售额

苹果在2018年第四季度停止报告Mac电脑的销售情况。所有后续值都是估计值。

与 Formbook 相比,该恶意软件现在为开发者提供了更有利可图的经济模型。客户只能在有限的时间内购买恶意软件,并且只能使用卖方提供的服务器,且不再出售面板源代码。因此,使用了“恶意软件即服务”方案。集中式的C&C基础架构允许开发者控制客户如何使用恶意软件。

19.webp.jpg

xloader宣布决定停止销售面板,并强调了控制客户行为的重要性

不同选项的定价如下表所示:

20.png

XLoader的卖家还发布了一个免费的Java绑定器,旨在创建一个结合Mach-O和exe二进制文件的独立JAR文件:

21.webp.jpg

XBinder工具界面

新的卖家是否也承担了开发和维护这个版本的原始Formbook恶意软件的责任?研究人员认为情况并非如此。卖家只是卖家,不是开发商,肯定还有其他人在幕后进行技术处理。

22.webp.jpg

 XLoader的卖家声称他是官方卖家,不是恶意软件的开发者

研究人员已经看到ng-Coder并没有完全消失,他会是那个继续开发新的恶意软件的人吗?除了技术上的相似,研究人员还发现了XLoader的卖家和ng-Coder之间存在联系的证据,即从XLoader到ng-Coder的一条消息说:“谢谢你的帮助”:

23.webp.jpg

xloader对ng-Coder说“谢谢”

另一个表明ng-Coder继续参与的证据是XLoader卖家的声明(发布于2020年12月14日),他在声明中分享了ng-Coder可以创建一个新的跨平台加密服务的希望:

24.webp.jpg

xloader 分享了对来自 ng-Coder 的新加密服务的希望

在下面的图表中,研究人员概述了恶意软件活动的时间轴和里程碑。

25.webp.jpg

两个恶意软件版本的活动时间线

二道贩子

在Formbook/XLoader恶意软件的生命周期中,许多模仿者和销售商声称他们是官方联系人。

这开始于5年前,当时ng-Coder提出了一个警告,不要给他或任何冒充他利用漏洞的人付款,因为他在2016年停止销售漏洞。注意,甚至在Formbook第一次出售之前就有模仿者了。

2021年,情况并没有太大变化。有一个网站可以从互联网上免费访问,出售XLoader,但价格高于恶意软件在Darknet的售价:

26.webp.jpg

互联网上出售XLoader的网站

最大的区别在于 macOS 的 3 个月套餐,比 Darknet 价格高 40 美元。

另一个网站以120美元的价格提供XLoader:

27.png

另一个提供 XLoader 出售的网站

影响

在2020年12月1日至2021年6月1日的6个月中,研究人员看到多达69个国家提出了Formbook/XLoader请求,占当今世界上195个国家的三分之一以上。

下图显示了按国家/地区划分的受害者名单:

28.webp.jpg

2020年12月1日至2021年6月1日期间各国的Formbook请求

来自美国的受害者占全世界受害者的一半以上。

Formbook过去两年非常流行,这意味着应该有相当多的Formbook\XLoader活动。事实上,在几年的监控活动中,研究人员观察到超过1400种不同的恶意软件活动。