FormBook 活动的工作流程图  图片来源： FortiGuard Labs

Fortinet 公司的 FortiGuard Labs 发现了一场新的网络钓鱼活动，该活动传播 FormBook 信息窃取恶意软件，通过欺骗性电子邮件和经过恶意改造的 Word 文档来攻击 Windows 系统用户。攻击者将社会工程学手段与微软的一个旧版漏洞（CVE-2017-11882）以及先进的规避检测技术相结合，传播了一种无文件形式的 FormBook 恶意软件，而 FormBook 是目前在野外活动中最为猖獗的信息窃取软件之一。

攻击链始于一封伪装成销售订单的网络钓鱼电子邮件。据 Fortinet 公司称，这封电子邮件催促收件人打开一个名为 order0087.docx 的附件 Word 文档。

报告指出：“这场网络钓鱼活动以一封伪装成销售订单的电子邮件开始，它催促收件人打开所附的 Word 文档。”

一旦打开该文档，它就会利用 altChunk 功能自动加载一个名为 Algeria.rtf 的嵌入式富文本格式（RTF）文件，从而启动恶意程序序列。

Algeria.rtf 文件经过了高度混淆处理，但其中包含了一个利用 CVE-2017-11882 漏洞的有效载荷，该漏洞是 Microsoft Equation Editor 3.0 中的一个远程代码执行漏洞。

研究人员写道：“这利用了 CVE-2017-11882 漏洞，导致缓冲区溢出，并最终执行命令‘CmD.exe/C rundll32 % tmp%\AdobeID.pdf,IEX A’。”

攻击的结果是执行了一个名为 AdobeID.pdf 的 64 位动态链接库（DLL）文件，该文件被解压到临时文件夹并通过 rundll32.exe 执行。

AdobeID.pdf 这个 DLL 文件可不只是一个释放器 —— 它是一个多功能组件，能够实现持久化驻留、下载真正的 FormBook 有效载荷，并完全在内存中执行。

它通过一个注册表项实现持久化驻留：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RtkAudUService。有效载荷是从一个伪装成 PNG 格式的文件中获取的：hxxps://www2 [.] 0zz0 [.] com/2025/02/02/10/709869215.png。

尽管该文件的扩展名为.png，但 Fortinet 公司证实它是经过加密的。报告详细说明：“然后恶意软件调用一个函数，将这个 PNG 文件解密成 FormBook 可执行二进制文件。” 它使用一个硬编码字符串（H1OX2WsqMLPKvGkQ）作为解密密钥。

一旦解密完成，FormBook 就会通过进程空洞技术被注入到一个合法的 Windows 进程 ——ImagingDevices.exe 中。这种技术使得恶意软件能够躲避传统杀毒软件的检测，因为它不会将任何恶意文件写入磁盘。

恶意软件会创建目标进程的一个暂停实例，使用 NtMapViewOfSection () 函数用 FormBook 的有效载荷替换其内存，然后通过 Wow64SetThreadContext () 和 NtResumeThread () 函数操作线程上下文来恢复进程的执行。

Fortinet 公司补充道：“FormBook 的基地址是 0x6E0000，并且会调用 RtlUserThreadStart () 应用程序编程接口（API），以便在新创建的线程中运行 FormBook 的有效载荷。”

相关机构敦促企业对旧版软件进行补丁更新，禁用像公式编辑器这样的旧版组件，并对用户进行有关网络钓鱼威胁的教育。