什麼是 FormBook 惡意軟體？

表格書是一個信息竊取器 malware 這是在 2016 年第一次發現的。它從受感染系統中竊取各種類型的數據，包括在 Web 瀏覽器中緩存的憑證，屏幕截圖和按鍵。它還具有作為下載器的能力，使其能夠下載和執行其他惡意文件。它在惡意軟體即服務 (MaaS) 模式下運行，網路犯罪分子可以以相對較低的價格購買惡意軟體的存取權限。

根據Check Point的 2022 Cybersecurity Report，FormBook 是 2021 年第三大最多產的惡意軟體，攻擊了 5% 的企業網路。它也是最多產的資訊竊取惡意軟體，佔全球攻擊的 16%。

申請示範下載網路安全報告

它是如何運作的？

FormBook 的業務模式基於提供訪問權限 malware 價格便宜，而無需出售將其交付給目標的方式。 FormBook 的訂閱者也購買了部署惡意軟體的方法，例如將其嵌入到包含在網路釣魚電子郵件。由於惡意軟體本身與傳遞機制分離，FormBook 使用了多種感染技術，網路釣魚電子郵件是最常見的。

一旦在受感染的系統上執行，FormBook 惡意軟體就會解壓縮其惡意功能並將其程式碼注入到各種進程中。此惡意代碼使用各種掛鉤來訪問按鍵，屏幕截圖和其他功能。該惡意軟體還可以接收來自操作員的命令，從瀏覽器竊取資訊或下載並執行其他惡意軟體。

作為 MaaS 產品，FormBook 惡意軟體可以由各種威脅參與者部署。由於 FormBook 攻擊背後有許多不同的交付機制和威脅參與者，任何垂直行業的個人和組織都可能成為惡意軟體的目標。

但是，它已被用於針對特定行業垂直的大規模宣傳活動中。例如，在 2017 年，FormBook 用於針對國防和航太產業的活動中。 2022 年俄羅斯和烏克蘭之間的戰爭期間，網路威脅行為者使用該惡意軟體攻擊烏克蘭目標。目前，假設 XLoader 惡意軟體是 Formbook 的後繼者。

如何防範 FormBook 惡意軟體

FormBook 惡意軟體使用各種技術來感染電腦並竊取其中的敏感資訊。管理 FormBook 惡意軟體帶來的風險的一些方法包括：

網路釣魚防護解決方案： 網路釣魚電子郵件是 FormBook 等惡意軟體最常見的傳遞機制。網路釣魚防護解決方案可以識別和阻止包含混淆的惡意內容（例如 FormBook 惡意軟體）的電子郵件，對於最大限度地降低組織的惡意軟體風險至關重要。
Content Disarm and Reconstruction (CDR): FormBook 惡意軟體的常見傳遞機制是將其嵌入傳送到預定目標的文件中。CDR 解決方案可以從受感染文件中刪除惡意功能，並重建已清除的文件以傳送給預定的收件者。
端點偵測和回應（EDR）: FormBook 使用各種技術來避免檢測並獲得其傳輸給其操作員的敏感信息的訪問。安裝在受感染端點上的 EDR 解決方案可以協助識別感染並啟動修復惡意軟體感染的過程。
多重身份驗證 (MFA)： 像 FormBook 這樣的信息盜竊者通常設計用於竊取登錄憑據並授予攻擊者訪問公司在線帳戶的訪問權限。在整個企業中部署 MFA，攻擊者更難使用被盜的憑證。
零信任安全模型: 成功的 FormBook 攻擊會結束，攻擊者控制一個或多個目標帳戶。實施零信任安全原則，並將授予任何帳戶的存取權限和權限最小化，有助於限制這些帳戶佔領攻擊造成的損害。
員工網絡意識培訓： 傳播惡意軟體的網路釣魚活動旨在誘騙收件者在其電腦上執行惡意軟體。員工網路安全培訓可以教導員工識別潛在的網路釣魚攻擊並做出適當的回應，以最大程度地降低自身和組織面臨的風險。

如何刪除 FormBook 惡意軟體？

FormBook 是一種複雜的資訊竊取惡意軟體，具有先進的規避技術。它會模糊其初始有效負載，並將自身注入合法的程序中，以隱藏自己不受檢測，並使移除過程變得複雜。因此，FormBook 惡意軟體最好透過端點資安解決方案刪除。這些解決方案可以識別電腦上的 FormBook 感染，並確保完全消除惡意軟體的存在。