Formbook 악성코드

Formbook은 인포스틸러 악성코드로서 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. Formbook 악성코드는 현재 실행 중인 정상 프로세스인 explorer.exe 및 system32 경로에 있는 또 다른 정상 프로세스에 인젝션함에 따라 악의적인 행위는 정상 프로세스에 의해 수행된다. 웹 브라우저의 사용자 계정 정보 외에도 키로깅, Clipboard Grabbing, 웹브라우저의 Form Grabbing 등 다양한 정보를 탈취할 수 있다.

 

 

○ 악성코드 유포는 주로 메일을 이용하여 전파되며 메일 본문에 악성코드 유포지를 링크를 걸거나 파일 첨부 등 악성코드 설치 유도

 

○ 폼북(FormBook) 악성코드는 시스템 환경을 먼저 확인하여 악성 행위 동작 여부를 결정하고, 정상 프로세스에 인젝션 하여 악성 행위를 수행

 

○ 주요 악성행위

 - 악성코드 감염 흔적을 없애기 위해 정상 프로세스(services.exe, explorer.exe, netstat.exe 등)에 인젝션 한 후 원본파일 삭제 후 악성행위

 - 향후 지속적인 악성 행위를 위해 ProgramFile 경로에 자가 복제한 후 시작프로그램에 등록하여 시스템 시작할 때마다 악성코드가 동작하도록 설정

 - 시스템명, OS정보, hosts파일 등의 시스템 정보와 브라우저 로그인 정보, 키로깅, 화면캡처 등 사용자 정보를 수집하는 행위

 

출처 : https://www.hisac.or.kr/site/main/board/notice/327?cp=1&sortOrder=BA_REGDATE&sortDirection=DESC&listType=list&bcId=notice&baNotice=false&baCommSelec=false&baOpenDay=false&baUse=true