WatchGuard Technologies signaleert nieuwe phishingcampagnes die de bekende FormBook-malware verspreiden via meerdere besmettingsroutes tegelijk. Aanvallers combineren legitieme software, versleutelde scripts en aangepaste loaders om traditionele beveiligingsmaatregelen te omzeilen. De campagnes zijn al actief in Europa en Latijns-Amerika, en de gebruikte phishingtactieken sluiten ook aan op Nederlandse bedrijfsprocessen.
FormBook is al jaren actief als malware-as-a-service gericht op Windows-systemen. Uit onderzoek van WatchGuard blijkt dat aanvallers hun werkwijze aanzienlijk hebben verfijnd: in plaats van één vaste aanvalsmethode combineren ze meerdere technieken om systemen te infecteren. Daardoor werken traditionele beveiligingsoplossingen die leunen op bekende malware-signaturen minder effectief.
DLL side-loading als besmettingsroute
Bij de eerste methode passen aanvallers DLL side-loading toe. Een bijlage, doorgaans een RAR-bestand, bevat een legitiem programma samen met een kwaadaardig DLL-bestand dat dezelfde naam draagt als een bestand dat het programma verwacht te laden. Bij het starten van het programma wordt de schadelijke versie geladen in plaats van het origineel. Die plaatst vervolgens de FormBook-payload in een tijdelijke map en voert die uit. Omdat de aanval gebruik maakt van legitieme software en vertrouwde Windows-tools zoals PowerShell, is hij moeilijk te onderscheiden van normaal systeemgedrag.
Versleuteld scriptbestand als tweede aanvalsvector
Bij de tweede methode ontvangen slachtoffers een bestand dat op een pdf lijkt, maar in werkelijkheid een JavaScript-bestand is. Na opening zet het script via meerdere stappen aanvullende bestanden klaar en roept het PowerShell aan om de volgende infectiefase te starten. WatchGuard meldt dat daarbij AES-encryptie, Base64-codering en een aangepaste loader worden gecombineerd om de uiteindelijke payload uit te voeren. Die loader is eerder al in verband gebracht met andere malwarefamilies, maar werd in deze campagne specifiek ingezet om FormBook te verspreiden.
Meerdere besmettingsroutes maken detectie moeilijker
Het bedrijf geeft aan dat juist de combinatie van aanvalsmethoden zorgwekkend is. Door gewone tools, versleutelde scripts en aangepaste loaders samen in te zetten, ontstaat een aanval die weinig herkenbare sporen achterlaat. Organisaties kunnen daardoor niet meer volstaan met het monitoren van losse bestanden of bekende signaturen.
WatchGuard heeft deze campagnes al waargenomen bij bedrijven in Griekenland, Spanje, Slovenië, Bosnië, Kroatië en diverse landen in Latijns-Amerika. Het bedrijf stelt dat de brede geografische verspreiding aantoont hoe eenvoudig deze aanpak verder uitgerold kan worden.
Relevantie voor Nederland
Voor Nederlandse organisaties is de dreiging concreet. De phishingmails maken gebruik van onderwerpen als betalingen, orders en offertes — onderwerpen die naadloos aansluiten op dagelijkse bedrijfsprocessen. Omdat de aanval bovendien misbruik maakt van vertrouwde systeemprocessen, bestaat het risico dat securityteams een infectie pas laat ontdekken.
Martijn Nielen, senior sales engineer bij WatchGuard Technologies, benadrukt dat organisaties verder moeten kijken dan individuele indicatoren. Hij geeft aan dat signalen uit e-mail, endpoints en netwerkactiviteit centraal gecorreleerd moeten worden om afwijkend gedrag tijdig zichtbaar te maken. Nielen verwacht dat organisaties daarbij baat hebben bij zo veel mogelijk geautomatiseerde monitoring, analyse en respons, aangevuld met ondersteuning van een externe securitypartner waar dat nodig is.
