Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: YUKSEK

Arquivo Kimligi

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
Arquivo Adidstq.exe
Tamanho287.744 byte
String Sayisi1.218 (sifrelenmis)

Analiz Bulgulari

FormBook, tum kritik stringlerini (C2 URL, API endpoint, mutex) XOR ile sifrelenmis PE seksiyon icinde saklar. Statik string analizinde hicbir cleartext IOC bulunamamistir.

FormBook Teknik Arquiteturasi

  • Process Injection: Mesgru process'lere (Explorer.exe, svchost.exe) DLL injection
  • Form Grabbing: Tarayici formlarina hook ile sifresiz veri yakalama
  • Keylogger: SetWindowsHookEx ile keyboard hook
  • Screenshot: Belirli araliklarda ekran yakalama
  • C2 Pattern: Hardcoded list of multiple domains, rotates randomly

FormBook Yetenekleri

KategoriHedefler
Form VeriWeb formlarina girilen TUM veri (HTTP/HTTPS)
TarayicilarChrome, Firefox, IE, Edge, Opera, Brave, 80+ tarayici
EmailOutlook, Thunderbird, The Bat!, Foxmail
FTPFileZilla, WinSCP, SmartFTP, Total Commander FTP
KeyloggerTum tus basimalari ve aktif pencere bilgisi
ScreenshotPeriyodik ekran yakalama

FormBook Hakkinda

FormBook, 2016 yilinda "ng-Coder" takma adini kullanan bir gelistirici tarafindan underground forumlarda MaaS olarak satisa sunulmustur. 2019'da "XLoader" olarak rebrand edilmis ve macOS destegi eklenmistir. Process injection ve form grabbing teknikleri ile en yakin rekabetci stealerlardan biridir. Turkiye'de de kurban segmenti vardir.

IOC

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
C2XOR sifreli (runtime decrypt)
InjectionProcess Hollowing (Explorer/svchost)

FormBook — Perfil do malware

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Tipo de malware
Infostealer
Linguagem de programação
C
Protocolo C2
HTTP
Sistemas-alvo
Windows
Também conhecido como (AKA)
xLoader

Detalhes técnicos

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Atribuição / Ator da ameaça

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Capacidades e comportamento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (1 indicadores)

IOC — FormBook
# SHA256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
TipoValorNota
sha256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1

Servidores C2 (5 servidores registrados para esta família)

Endereço Tipo Porta Protocolo Status País
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.

Tags
formbookinfostealersifreliform-stealertarayiciprocess-injectionmaas