FormBook virus informatico un malware di tipo infostealer 

FormBook è un malware di tipo infostealer (ruba-informazioni) scoperto per la prima volta nel 2016, noto per il furto di dati sensibili da sistemi infetti. Agisce intercettando varie informazioni come le credenziali memorizzate nei browser web, le sequenze di tasti (keylogging), gli screenshot, e il contenuto degli appunti. FormBook può anche scaricare ed eseguire file dannosi aggiuntivi su richiesta degli operatori che lo controllano.

Il malware è diffuso principalmente tramite campagne di phishing, spesso veicolato in allegati di email malevole che inducono la vittima ad aprire documenti compromessi. Una volta attivo, si inietta in vari processi di sistema per eludere i controlli e rubare dati, comunicando con un server di comando e controllo da cui riceve comandi, come aggiornarsi, scaricare altri malware o cancellarsi dal sistema. Utilizza tecniche avanzate anti-analisi per sfuggire a rilevamenti e analisi forensi, come il rilevamento di ambienti virtuali o debugger.

FormBook funziona su modello Malware as a Service (MaaS), permettendo a criminali di noleggiare o acquistare l’accesso al malware, mentre la distribuzione è spesso affidata a gruppi separati che usano diverse tecniche di infezione.

Per difendersi da FormBook si consigliano soluzioni anti-phishing per bloccare le email malevole, sistemi di rilevamento e risposta sugli endpoint (EDR), autenticazione multifattoriale (MFA) per proteggere gli account e formazione degli utenti per riconoscere messaggi sospetti. È importante anche adottare modelli di sicurezza come Zero Trust che limitano i danni da eventuali compromissioni.

FormBook è uno dei malware più pericolosi e diffusi negli ultimi anni, usato anche in attacchi mirati a settori come difesa, aerospaziale e recentemente in conflitti geopolitici, dimostrando la sua pericolosità e capacità evolutiva nel panorama delle minacce informatiche attuali.

Come individuare se un PC è infetto da FormBook

Per individuare se un PC è infetto dal malware FormBook, bisogna prestare attenzione a una serie di indicatori e sintomi, anche se spesso il malware agisce in modo furtivo senza mostrare segnali evidenti. Ecco i principali segnali e metodi di individuazione:

• FormBook agisce principalmente rubando dati sensibili in modo silente, quindi non crea sintomi evidenti di malfunzionamento o rallentamenti visibili all’utente.
• Potrebbe essere presente una presenza insolita di processi o servizi sospetti nel sistema, con particolare attenzione a processi che si iniettano in applicazioni comuni come browser web o explorer.exe.
• Il malware può creare o modificare file temporanei, spesso in cartelle nascoste come %APPDATA% o %TEMP%, dove si copia e memorizza dati come screenshot o dati esfiltrati.
• Modifiche sospette nel registro di sistema, in particolare nelle chiavi di autorun per garantirsi l’avvio automatico ad ogni accensione del PC.
• L’uso di strumenti di sicurezza avanzati come soluzioni Endpoint Detection and Response (EDR) o antivirus aggiornati è fondamentale per rilevare attività anomale riconducibili a FormBook, grazie anche a firme e behavioral analysis.
• Tecniche di analisi come il monitoraggio di hook inseriti in funzioni di sistema (ad esempio nei browser per rubare dati), registrazioni di sequenze di tasti e cattura screenshot possono essere individuate con software specializzati di analisi e pulizia malware.
• In caso di dubbi, è consigliato eseguire una scansione completa del sistema con un antivirus aggiornato e usare strumenti come Process Monitor o GMER per analizzare processi sospetti e la presenza di codice iniettato.

Poiché FormBook usa tecniche anti-analisi e cerca di eludere gli strumenti di sicurezza, l’individuazione manuale è complessa. Il modo migliore resta la prevenzione con software aggiornati, la scansione regolare e prudenza nell’aprire allegati mail sospetti o file da fonti non affidabili.

In sintesi, il PC infetto da FormBook può mostrare segnali molto sottili, ma tra i campanelli d’allarme ci sono processi sospetti, file temporanei nascosti, modifiche al registro e attività anomale monitorabili con strumenti di sicurezza avanzati.

Verificare processi e servizi sospetti da riga di comando

Per verificare processi e servizi sospetti da riga di comando su un PC Windows, è possibile utilizzare i seguenti comandi:

• Per elencare tutti i processi attivi con dettagli:powershelltasklist /v Questo comando mostra tutti i processi in esecuzione con informazioni aggiuntive come nome utente, uso di memoria e finestra attiva.
• Per filtrare processi con nomi specifici o ricercare pattern sospetti, si può usare:powershelltasklist | findstr /i "nomeprocesso" sostituendo “nomeprocesso” con parte del nome del processo sospetto.
• Per ottenere un elenco dettagliato dei servizi attivi:powershellsc queryex type= service state= all Visualizza tutti i servizi con il loro stato e informazioni estese.
• Per filtrare servizi specifici in base al nome:powershellsc queryex | findstr "nome_servizio"
• Per vedere i servizi che si avviano automaticamente (potenziale luogo di infezioni malware):powershellwmic service get name, startmode | findstr "Auto"
• Per maggiori dettagli su un servizio specifico:powershellsc qc nome_servizio
• Per individuare processi sospetti con strumenti aggiuntivi, è possibile usare:powershellpowershell "Get-Process | Where-Object { $_.Path -eq $null }" che mostra i processi senza path visibile, spesso indicativi di attività anomala.

Utilizzando questi comandi è possibile monitorare e identificare processi e servizi anomali o sospetti potenzialmente collegati a infezioni malware come FormBook. In caso di dubbi, consultare log e approfondire con strumenti di analisi più avanzati o antivirus specifici.

#Riproduzione riservata

＼ Get the latest news ／