FormBook&8212，用于定向攻击的廉价密码窃取恶意软件

看来老练的黑客已经改变了他们进行有针对性的网络行动的方式，而不是在零日内投资开发他们的恶意软件，一些黑客组织现在已经开始使用现成的恶意软件，就像脚本小子一样。

对于国家资助的黑客来说，这可能是一个明智之举，以避免轻易被归咎于黑客。

有什么共同点？所有这些由不同黑客组织发起的攻击活动最终都安装了相同的信息和密码窃取恶意软件，配音模板—在目标系统上。

FormBook只不过是一个“恶意软件即服务," 这是一款价格合理的数据窃取和表单抓取恶意软件，自2016年初以来，该软件已在各种黑客论坛上发布广告。
任何人都可以以每周29美元或每月59美元的价格租用FormBook，它在目标机器上提供了一系列高级间谍功能，包括键盘记录器、密码窃取器、网络嗅探器、截图、网络表单数据窃取器等。

据研究人员称，每个活动中的攻击者主要使用电子邮件以不同形式将FormBook恶意软件作为附件分发，包括带有恶意下载链接的PDF、带有恶意宏的DOC和XLS文件，以及包含EXE有效载荷的存档文件（ZIP、RAR、ACE和ISOs）。

一旦安装到目标系统上，该恶意软件会将自身注入各种进程，并开始捕获击键，并从多个应用程序中提取存储的密码和其他敏感数据，包括谷歌Chrome、Firefox、Skype、Safari、Vivaldi、Q-360、Microsoft Outlook、Mozilla Thunderbird、3D-FTP、FileZilla和WinSCP。

FormBook会持续将所有被盗数据发送到远程命令和控制（C2）服务器，该服务器还允许攻击者在目标系统上执行其他命令，包括启动进程、关闭和重新启动系统，以及窃取cookie。

FireEye说：“该恶意软件最有趣的功能之一是，它将Windows的ntdll.dll模块从磁盘读入内存，并直接调用其导出的函数，从而导致用户模式挂钩和API监控机制无效”。
“恶意软件作者将这种技术称为“Lagos Island method”（据称源于一个同名的userland rootkit）

据研究人员称，FormBook在过去几周还下载了其他恶意软件家族，如NanoCore。

攻击者甚至可以将FormBook成功获取的数据用于进一步的网络犯罪活动，包括身份盗窃、持续的网络钓鱼操作、银行欺诈和勒索。

FormBook既不复杂，也不难检测到恶意软件，因此保护自己免受恶意软件攻击的最佳方法是在系统上保留良好的防病毒软件，并始终保持最新。