Il 2022, ahinoi, sta mantenendo fede alle promesse evidenziate dagli analisti che vedono nell’anno in corso più attacchi hacker rispetto a un 2021 da record. A far impennare i numeri, un malware capace di fare sfracelli.
Lo dice Check Point Research: FormBook attualmente è il malware più utilizzato dai cyber criminali, di gran lunga più di Emotet che aveva occupato la prima posizione da gennaio. Più anche di Joker, il cui ritorno preoccupa. E non poco. 
FormBook è un sofisticato malware di infostealer con tecniche di evasione avanzate. Offusca il suo carico utile iniziale e si inserisce nei processi legittimi per nascondersi dal rilevamento e complicare il processo di rimozione.
In Italia è preceduto da Blindingcan
Il malware utilizza varie tecniche per infettare i computer e sottrarre loro informazioni sensibili. Viene offerto come Malware-as-a-Service (MaaS) nel dark web ad un prezzo per di più contenuto. In Italia, peraltro è preceduto da Blindingcan, un RAT (Remote Access Trojan) che utilizza diverse tecniche per eseguire una variante di Hidden Cobra RAT. Alcuni metodi per gestire il rischio.
Formbook è attualmente uno dei malware più diffusi, dunque. È attivo già da più di 5 anni. Check Point ha riferito a dicembre 2020 che Formbook ha colpito il 4% delle organizzazioni in tutto il mondo ed è entrato nella top 3 dei malware più diffusi. Fino al primo posto.
Un malware che continua a raccogliere schermate, monitora e registra le sequenze di tasti e può scaricare ed eseguire file in base agli ordini ricevuti dai server Command-and-Control (C&C). Il codice è scritto in C con inserti di assembly e contiene una serie di trucchi per rendere più difficile l’analisi da parte dei ricercatori.
Eppure doveva essere “un semplice keylogger“. Tuttavia, i clienti hanno immediatamente visto il suo potenziale come strumento universale da utilizzare in ampie campagne di spam rivolte alle organizzazioni di tutto il mondo. Quando questo potenziale è diventato realtà, Formbook è sparito, rinascendo come Loader. Che ha aperto nuove opportunità, con la possibilità di operare in macOS.
Gli abbonati a FormBook acquistano anche un mezzo per distribuire il malware, come incorporarlo in un documento dannoso contenuto in un’e-mail di phishing. Poiché il malware stesso è disaccoppiato dal meccanismo di consegna, FormBook utilizza una varietà di tecniche di infezione, tra cui le e-mail di phishing sono le più comuni. Una volta eseguita l’esecuzione su un sistema infetto, il malware decomprime le sue funzionalità dannose e inietta il suo codice in vari processi. Questo codice utilizza vari hook per accedere a sequenze di tasti, schermate e altre funzioni. Il malware può anche ricevere comandi dal suo operatore per rubare informazioni dai browser o scaricare ed eseguire altro malware.
Come offerta MaaS, il malware FormBook può essere distribuito da vari attori delle minacce. Con molti diversi meccanismi di consegna e attori delle minacce dietro gli attacchi FormBook, individui e organizzazioni in qualsiasi settore verticale potrebbero essere potenzialmente presi di mira dal malware. Insomma, un bel guaio.