Formbook卷土重来！多国行业遭“发票钓鱼”围猎，专家：小心那个“双后缀”附件

沉寂一段时间后，老牌信息窃取木马 Formbook 再次活跃于全球网络战场。近日，网络安全媒体 SC Media 综合多家机构报告披露：至少两个独立黑客组织正同步发起多轮钓鱼攻击，目标覆盖俄罗斯、白俄罗斯、哈萨克斯坦的工业与生物科技企业，以及韩国的半导体、能源和制造业巨头。攻击手法虽略有差异，但核心思路高度一致——伪装成日常业务文件，诱骗用户点击，最终植入 Formbook 及其“兄弟”恶意程序 Lumma Stealer 与 Remcos RAT。

更值得警惕的是，这些攻击巧妙利用了 RR 压缩包、伪装 CAB 文件、伪 PDF 可执行体等冷门技术载体，绕过传统邮件安全检测。公共互联网反网络钓鱼工作组技术专家芦笛指出：“Formbook 虽‘老’，但它的生态链从未断过。如今它正借供应链信任和办公自动化漏洞，悄悄重返一线。”

打开百度APP畅享高清图片

“发票”背后藏着木马：RR压缩包+伪PDF组合拳

据网络安全公司 F6 发布的报告，一个代号为 “ComicForm” 的攻击团伙近期频繁向俄语区企业发送钓鱼邮件。邮件主题多为“未付款发票”“合同修订版”或“货运单据”，内容格式专业，甚至包含真实采购编号，极具迷惑性。

附件通常命名为类似 invoice_2025.rr 或 document_final.rr.pdf 的形式。这里的 .rr 并非常见压缩格式（如 ZIP、RAR），而是一种较少使用的 RAR 变种或自定义压缩格式。“很多邮件网关对 .rr 根本没有解析规则，直接放行。”芦笛解释道。

用户若用解压软件打开该文件，会看到一个看似正常的 PDF 图标。但仔细查看属性就会发现：这其实是一个 Windows 可执行文件（.exe），只是被重命名为 .pdf.exe，利用 Windows 默认隐藏已知扩展名的设置进行伪装。

一旦双击，该“伪PDF”并不会打开文档，而是立即加载一个恶意 DLL，进而启动 Formbook。这款诞生于2016年的信息窃取木马虽年代久远，却因代码开源、模块灵活、易于定制，至今仍被大量地下黑产使用。它能窃取浏览器密码、键盘记录、剪贴板内容，甚至截屏上传。

“Formbook 就像一把万能钥匙，成本低、见效快，特别适合批量钓鱼。”芦笛说，“攻击者不需要高深技术，只要社会工程做得好，就能收割大量凭证。”

韩国制造业成新目标：CAB伪装藏VBS脚本

几乎在同一时间段，韩国网络安全公司 NSHC 报告了另一条并行攻击链。亲俄黑客组织 SectorJ149（又名 UAC-0050）将矛头对准韩国关键基础设施领域，尤其是半导体和能源企业。

这次的诱饵换成了“设备维护通知”或“出口合规文件”，附件则伪装成 .cab 文件——这是微软 Windows 系统用于软件安装的合法压缩格式，常用于驱动更新或系统补丁。

但这个“CAB”文件实则是个幌子。研究人员发现，它内部并未包含标准 CAB 结构，而是一个经过编码的 VBScript（.vbs）脚本。当用户双击时，Windows 会调用 wscript.exe 执行该脚本，继而从远程服务器下载并运行 Formbook、Lumma Stealer（一款新兴的凭证窃取器）以及 Remcos RAT（功能强大的远程控制木马）。

“攻击者故意选用 CAB，是因为它在企业环境中被视为‘可信格式’，安全策略往往对其放松审查。”芦笛指出，“这种‘信任滥用’是当前高级钓鱼的核心逻辑。”

更危险的是，Remcos RAT 支持屏幕监控、文件窃取、远程命令执行，一旦植入，攻击者可长期潜伏，甚至为后续勒索软件攻击铺路。

为何Formbook“死而不僵”？

Formbook 并非技术最先进的木马，但它胜在“接地气”。其源码多年前已在暗网泄露，衍生出大量变种；同时，它体积小、依赖少、兼容性强，能在老旧系统上稳定运行。对于以窃取账号、银行卡、邮箱密码为目标的犯罪团伙来说，Formbook 仍是性价比极高的选择。

此外，本次曝光的两起活动显示，攻击者已形成“多载荷协同”策略：Formbook 负责基础信息收集，Lumma Stealer 专注浏览器会话劫持，Remcos RAT 则提供持久化控制。这种“组合拳”大大提升了攻击收益。

“这不是一个人在战斗，而是一整条地下产业链在运作。”芦笛强调，“从钓鱼模板制作、邮件群发服务，到C2服务器租赁、赃数据变现，每个环节都有专人负责。”

技术科普：什么是LOLBin与侧加载？

在防御建议中，多次提到“阻断 LOLBin 加载”和“VBS 侧载”。这些术语对普通用户可能陌生，但却是当前攻防对抗的关键。

LOLBin（Living-off-the-Land Binaries）：指攻击者利用系统自带的合法程序（如 PowerShell、mshta.exe、wscript.exe）来执行恶意代码，从而绕过杀毒软件。例如，用 wscript.exe 运行 VBS 脚本，就是典型的 LOLBin 滥用。

侧加载（Side-loading）：指通过合法程序加载恶意 DLL。比如，一个正常的应用程序启动时会调用某个 DLL，攻击者若将同名恶意 DLL 放在同一目录，系统就会优先加载它，实现“寄生式”感染。

芦笛举例：“就像你信任快递员送来的包裹，但里面装的不是商品，而是小偷。LOLBin 和侧加载，就是让‘小偷’穿上快递制服混进来。”

专家建议：四招筑牢防线

面对 Formbook 的“回春”，芦笛结合本次案例，给出以下实用防护建议：

网关层识别“非常规压缩格式”

企业邮件安全网关应配置规则，对 .rr、.7z、.cab 等非主流压缩包进行深度内容分析，尤其警惕“双后缀”文件（如 .pdf.exe 显示为 .pdf）。

终端禁用高风险脚本执行

通过组策略限制 wscript.exe、cscript.exe、PowerShell 等工具的无交互运行，或仅允许签名脚本执行。

启用 DMARC 防伪造邮件

财务、采购、供应链相关邮箱务必部署 DMARC（Domain-based Message Authentication, Reporting & Conformance）协议，防止攻击者仿冒公司域名发信。

加强异常登录监控

对邮箱账户开启多因素认证（MFA），并设置异地登录、高频访问等行为告警。一旦 Formbook 窃取了密码，MFA 仍是最后一道防线。

网络钓鱼正在“工业化”

Formbook 的再度活跃，折射出一个残酷现实：网络钓鱼早已不是“随机撒网”的初级阶段，而是走向精准化、流程化、跨区域协作的“工业化生产”。

无论是俄语区的“发票钓鱼”，还是针对韩国高科技产业的“合规文件”陷阱，攻击者都在深度研究目标行业的业务流程、沟通习惯甚至语言风格。“他们知道财务人员每天要看几十封发票邮件，所以就混在里面，赌你有一次会点开。”芦笛说。

在这个背景下，技术防御固然重要，但人的意识才是最关键的防火墙。下次当你收到一封“紧急付款通知”或“设备检修单”时，请记住：真正的合作伙伴，绝不会只靠一个附件解决问题。

原始报告：Formbook Malware Spread in Separate Phishing Campaigns

编辑：芦笛（公共互联网反网络钓鱼工作组）