🔍 Contexte

Publié le 20 avril 2026 par Euler Neto sur le blog Secplicity de WatchGuard, cet article présente une analyse technique de deux campagnes de phishing identifiées par la télémétrie WatchGuard, toutes deux visant à déployer le malware FormBook sur des systèmes Windows.

🎯 Ciblage géographique

Les campagnes ciblent des entreprises situées en :

  • Grèce
  • Espagne
  • Slovénie
  • Bosnie-Herzégovine
  • Amérique latine et centrale

Les pièces jointes malveillantes portent des noms liés à des commandes ou paiements, rédigés dans la langue locale des victimes.

📦 Campagne 1 – DLL Side-Loading via ImBox.exe (Sandboxie-Plus)

Le vecteur initial est un email de phishing avec une pièce jointe RAR contenant 4 fichiers :

  • ImBox.exe : exécutable légitime du projet Sandboxie-Plus, utilisé comme hôte de confiance
  • msvcp140.dll : DLL malveillante substituée à la version légitime
  • Deux autres DLLs

La technique de DLL side-loading exploite le mécanisme de recherche de DLL de Windows. La DLL malveillante msvcp140.dll crée un fichier dans le répertoire TEMP contenant le payload FormBook.

D’autres variantes de cette campagne ont été observées avec :

  • TikTok desktop (ancienne version) + base.dll
  • ADelRCP (composant Adobe Acrobat Reader) + msi.dll
  • XZ Utils (version Windows) + liblzma-5.dll

📜 Campagne 2 – JavaScript obfusqué + PanthomVAI Loader

Le vecteur initial est un email de phishing avec une pièce jointe .pdf.<extension_compression> contenant un fichier .pdf.js (JavaScript hautement obfusqué).

Chaîne d’exécution :

  1. Le JavaScript dépose Ollo.png et Til.png, puis appelle PowerShell avec un argument encodé en Base64
  2. PowerShell lit Ollo.png, déchiffre son contenu via AES (clé et IV en Base64), puis exécute le résultat
  3. Le fichier généré est un loader .NET nommé PanthomVAI (namespace HackForums.gigajew, fonction Mandark), précédemment documenté par Intrisec
  4. PanthomVAI injecte le payload FormBook dans le processus RegAsm

PanthomVAI a déjà été observé distribuant : Remcos, XWorm, AsyncRAT, DarkCloud, SmokeLoader.

🦠 Analyse du payload FormBook

FormBook est un stealer MaaS (Malware-as-a-Service) découvert en 2016, ciblant Windows. Techniques d’évasion identifiées :

  • Import Directory Table vide : imports dynamiques uniquement
  • Mapping manuel de ntdll.dll en mémoire (3 étapes : lecture RAW, mapping headers/sections, chargement dynamique des adresses)
  • Utilisation de syscalls directs via la copie mappée de ntdll.dll pour contourner la surveillance user-mode
  • Hook inline sur des navigateurs pour capturer identifiants, données de navigation et captures d’écran
  • Région mémoire avec protection PAGE_EXECUTE_READWRITE (ERW) pour la DLL mappée

📋 Type d’article

Il s’agit d’une analyse technique publiée par un éditeur de sécurité, dont le but est de documenter les chaînes d’infection de deux campagnes FormBook actives et de fournir des indicateurs de compromission exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)

IOC

  • MD5 : 872116260461fe63dd8664dbfbc7efa0VT · MalwareBazaar
  • MD5 : 8d79722188d998327dd7edf9924bffe2VT · MalwareBazaar
  • MD5 : 9601283e3153779f5a7e845365fdd87dVT · MalwareBazaar
  • MD5 : ab0d213d4df3de06bbd2db524fb73282VT · MalwareBazaar
  • Fichiers : ImBox.exe
  • Fichiers : msvcp140.dll
  • Fichiers : base.dll
  • Fichiers : msi.dll
  • Fichiers : liblzma-5.dll
  • Fichiers : Ollo.png
  • Fichiers : Til.png
  • Fichiers : Microsoft.Win32.TaskScheduler.dll

Malware / Outils

  • FormBook (stealer)
  • PanthomVAI (loader)
  • Remcos (rat)
  • XWorm (rat)
  • AsyncRAT (rat)
  • DarkCloud (stealer)
  • SmokeLoader (loader)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ watchguard.com — source non référencée (0pts)
  • ✅ 11434 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 12 IOCs dont des hashes (15pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 14 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.watchguard.com/wgrd-security-hub/secplicity-blog/formbook-malware-analysis-phishing-campaigns-use-dll-side-loading