Descoberta e panorama
Pesquisadores do Internet Storm Center (ISC) relataram uma campanha recente em que o agente de ameaça distribui Formbook através de anexos ZIP enviados por phishing. Os arquivos compactados contêm scripts VBS disfarçados com nomes como “Payment_confirmation_copy_30K__20251211093749.vbs”, projetados para se passar por documentos de confirmação de pagamento.
Abordagem técnica e vetor de exploração
O fluxo de ataque descrito pelas fontes é multi‑estágio: o VBS inicial incorpora truques de obfuscação e execução retardada — por exemplo, um loop que aguarda cerca de 9 segundos antes de prosseguir — e monta comandos PowerShell juntando pedaços de texto ocultos. Em seguida o VBS invoca o PowerShell via Shell.Application, que faz o download de um payload adicional hospedado no Google Drive e grava o binário na pasta AppData do usuário.
No estágio final, o instalador invoca msiexec.exe e injeta o código do Formbook no processo, que então se conecta a um servidor de comando e controle no endereço 216.250.252.227 na porta 7719 para receber instruções.
Detecção e técnicas de evasão
O relatório do ISC destacou a eficácia das técnicas de obfuscação usadas: apenas 17 de 65 motores antivírus detectaram o arquivo VBS inicial durante a análise, evidenciando baixa cobertura contra o artefato de primeiro estágio. O uso combinado de VBS, PowerShell e executáveis, além da execução retardada e da montagem dinâmica de comandos, foi identificado como forma de reduzir a eficácia de sandboxes e scanners estáticos.
Impacto e escopo
As fontes não fornecem uma contagem consolidada de vítimas nem setores específicos afetados; o relatório descreve o método e indicadores técnicos do ataque (ex.: nomes de arquivos, IP C2, porta e hospedagem do payload). Dado o vetor — e‑mails com anexos ZIP — a superfície exposta inclui usuários finais e ambientes em que execução de scripts a partir de anexos não é bloqueada.
Limites das informações
As publicações consultadas detalham o fluxo de ataque, amostras e taxas de detecção, mas não trazem um advisory com mitigação formal nem uma atribuição do ator responsável. As fontes não quantificam o número de infecções nem indicam campanhas simultâneas com PHI ou dados regulados.
Observações operacionais
- O artefato inicial é um VBS embutido em ZIP; sua baixa detecção por AVs (17/65) foi ressaltada pelo ISC.
- O uso de Google Drive como repositório de payloads e a injeção em msiexec.exe são vetores técnicos explicitados nas fontes.
- O endereço IP de C2 reportado é 216.250.252.227 e a porta observada é 7719.
O que falta saber
Não há nas fontes informações sobre mitigação publicada por fornecedores, listas de indicadores ampliados (além dos exemplos citados) ou molde de campanha (alvo geográfico/vertical). Também não há dados públicos sobre extorsão, exfiltração mensurada ou pagamentos relacionados à operação.
Fontes citadas nas apurações: Internet Storm Center e relatório republicado pelo veículo que cobriu a descoberta.