FormBook’ning yangi avlodi Windows tizimlarini to‘liq egallash imkonini beradi

2025-yil 27-may sanasida e’lon qilingan kiberxavfsizlik tahliliga ko‘ra, internetda yana bir xavfli zararli dastur — FormBook’ning yangi avlodi faol ravishda tarqalmoqda. U ilgari ma’lumot o‘g‘rilashga ixtisoslashgan bo‘lgan bo‘lsa, endilikda Windows tizimini to‘liq masofadan boshqarish imkonini ham beradigan darajada murakkablashgan.

Fortinet tadqiqotchilariga ko‘ra, hujum jarayoni phishing (soxta elektron pochta) orqali boshlanadi. Xatga biriktirilgan zararli Word hujjatlari CVE-2017-11882 zaifligidan foydalanadi — bu Microsoft Office’ning eski Equation Editor komponentiga taalluqlidir.

Zaiflik ekspluatatsiya qilingach, tizimga “PNG fayl” sifatida niqoblangan, ammo aslida shifrlangan FormBook yuklanadi. Bu bosqichda hujum juda yashirin tarzda amalga oshiriladi.

FormBook o‘zini “ImagingDevices.exe” jarayoniga joylab, so‘ngra explorer.exe’ning tasodifiy “bolalar jarayonlari”ga ko‘chadi. Tahlilchi Xiaopeng Zhang aniqlaganidek, FormBook 12 ta maxfiy nomlangan jarayonlar ro‘yxatini saqlaydi — ularning ichida fontview.exe, MuiUnattend.exe, pathping.exe kabi jarayonlar bor bo‘lib, ularning barchasi C:\Windows\SysWOW64 ichida joylashgan.

Ushbu jarayonlardan biri ishga tushsa, FormBook “process hollowing” texnikasi orqali o‘zining asosiy zararli kodini unga joylashtiradi.

FormBook zararli dasturining eng xavfli jihatlaridan biri — bu Heaven’s Gate texnikasining qo‘llanilishi. Bu orqali 32-bitli jarayonlar Windows x64 tizimida 64-bit kodni bajarishga muvaffaq bo‘ladi. Buning uchun u CS (Code Segment) registrini 0x23 dan 0x33 ga o‘zgartirib, jmp far buyruqlarini ishlatadi.

Bundan tashqari, FormBook:

  • ntdll.dll kutubxonasining nusxasini RAM’ga yuklaydi, va faqat shu nusxa orqali API’larni chaqiradi
  • 100 dan ortiq funksiyalarni faqat ishlash paytida shifrdan yechadi, so‘ngra darhol qayta shifrlaydi
  • “vmwareuser.exe”, “sandboxiedcomlaunch.exe” kabi sandbox yoki virtualizatsiya belgilarini tekshiradi

Bu usullar FormBook’ni tahlil qilishni va aniqlashni juda murakkablashtiradi.

Tizimga kirib olgan FormBook zararli dasturi quyidagi brauzerlardan foydalanuvchi login va parollarini o‘g‘irlaydi:

  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer
  • Microsoft Edge

Masalan, Chrome brauzerining SQLite ma’lumotlar bazasida logins jadvalidan username_value va password_value qiymatlarini SELECT orqali chiqaradi.

FormBook 64 ta Command and Control (C2) serverlar bilan muloqotda bo‘ladi. Bu serverlar ko‘p bosqichli shifrlash orqali yashirilgan:
➡️ Shifrlanadi → Base64 kodlanadi → Qayta shifrlanadi.

FormBook quyidagi 9 xil buyruqni bajarishga qodir:

  • Fayl yuklash/yuklab olish
  • Tizimni o‘chirib qayta yoqish
  • Yashirin ishlovchi kodlarni ishga tushirish
  • O‘g‘irlangan ma’lumotlarni yuborish

Himoya va tavsiyalar

FortiGuard Anti-Botnet, Web Filtering, IPS va Antivirus xizmatlarini yoqqan foydalanuvchilar FormBook’ning ushbu kampaniyasidan himoyalangan.
✅ Barcha tashkilotlarga endpoint himoya tizimlari (EDR, XDR) va real vaqtli monitoringni faollashtirish tavsiya etiladi.
✅ Xodimlarga phishing xatlarni aniqlash bo‘yicha treninglar o‘tkazish kerak.

FormBook — ko‘p yillik tarixga ega bo‘lgan zararli dastur bo‘lsa-da, uning yangi versiyasi nihoyatda murakkab va xavfli. Na faqat ma’lumot o‘g‘rilaydi, balki tizimni to‘liq nazorat ostiga oladi.

Tashkilotlar va foydalanuvchilar yangilanmagan dasturlar va ehtiyotsiz elektron xabarlar orqali ushbu xavf ostiga tushib qolmasliklari uchun hozirdanoq qat’iy xavfsizlik choralarini ko‘rishlari zarur.