A WatchGuard Technologies identificou duas campanhas ativas de phishing utilizadas para disseminar o malware FormBook, uma ameaça focada no roubo de credenciais em sistemas Windows e amplamente comercializada no modelo malware-as-a-service.
As ações estão sendo registradas em países como Grécia, Espanha, Eslovênia, Bósnia e Herzegovina, Croácia e também na América Latina. Os ataques chegam por e-mails que simulam comunicações legítimas sobre pagamentos e pedidos, induzindo vítimas a abrir anexos maliciosos.
FormBook explora engenharia social e arquivos comprimidos
O FormBook é um malware conhecido desde 2016 e vendido em fóruns clandestinos. Seu objetivo é coletar informações sensíveis, como credenciais de login, dados armazenados em navegadores e capturas de tela.
De acordo com o WatchGuard Threat Lab, os ataques utilizam anexos comprimidos em e-mails de phishing, explorando contextos financeiros e comerciais para aumentar a taxa de abertura das mensagens.
Primeira campanha utiliza DLL side-loading
Na primeira campanha identificada, os criminosos usam arquivos compactados que contêm executáveis legítimos combinados com DLLs maliciosas, explorando a técnica de DLL side-loading.
Esse método permite que softwares confiáveis carreguem bibliotecas adulteradas, executando código malicioso de forma camuflada. Entre os programas explorados estão Sandboxie-plus, TikTok desktop, componentes do Adobe Acrobat Reader e utilitários de compressão.
A análise mostra que a DLL maliciosa cria arquivos temporários no sistema e injeta o payload do FormBook diretamente na execução, reduzindo a detecção inicial.
Segunda campanha usa JavaScript e PowerShell
Na segunda campanha, o ataque começa com arquivos JavaScript ofuscados. Ao serem executados, eles acionam o PowerShell para decodificar cargas úteis em Base64 e AES, além de utilizar imagens aparentemente inofensivas para ocultar parte do payload.
O processo resulta na execução de um loader .NET personalizado, associado a ferramentas já utilizadas em outras campanhas de malware e adaptado para a entrega do FormBook.
Execução em memória dificulta detecção
Em ambas as campanhas, o FormBook utiliza técnicas de execução em memória e mapeamento manual de bibliotecas do sistema, como ntdll.dll.
Esse comportamento reduz a detecção por soluções de segurança tradicionais, permitindo interação direta com o sistema operacional sem deixar rastros evidentes em disco.
Recomendações de segurança
A WatchGuard destaca que o FormBook segue evoluindo com novas técnicas de evasão. A empresa recomenda atenção redobrada a anexos comprimidos em e-mails, execução de scripts via PowerShell, carregamento anômalo de DLLs e processos suspeitos associados a arquivos abertos pelo usuário.
A identificação desse tipo de ameaça exige análise comportamental da cadeia completa de ataque, e não apenas a observação de indicadores isolados.
