Informações do arquivo
| Propriedade | Valor |
|---|---|
| SHA256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| MD5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
| SHA1 | a2147858182f429e20d9a4ab4497f011d0835e5d |
| Nome do arquivo | BOQ.bat (PE içeriği) |
| Tamanho | 1,091,584 bytes |
| Arquitetura | x86 |
| Data de compilação | Desconhecido |
| Packer | UPX |
| MB primeira detecção | 2026-06-29 |
| Tags MB | exe, Formbook |
Perfil de ameaça
Família: FormBook Classificação: ALTO Confiança: MEDIUM
FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.
Capacidades detectadas
- Form Grabbing (web tarayıcı form verisi çalma)
- Keylogger (SetWindowsHookEx)
- Screenshot (BitBlt/GDI)
- Clipboard Monitor
- HTTP C2 İletişimi
- Anti-Debug Kontrolleri
Anti-Analiz Teknikleri
- IsDebuggerPresent kontrolü
- VM/Sandbox tespiti
- UPX packing ile obfuscation
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Enjeksiyon Teknikleri
- Process Injection (CreateRemoteThread)
C2 Sunucuları
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
FormBook — Perfil do malware
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Detalhes técnicos
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Atribuição / Ator da ameaça
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Capacidades e comportamento
Lista IOC (2 indicadores)
# SHA256
f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
# MD5
2cbbc2dfcb4c2eee97bf191d2f640171
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 | |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Servidores C2 (5 servidores registrados para esta família)
| Endereço | Tipo | Porta | Protocolo | Status | País |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
Os endereços C2 são fornecidos apenas a partir de amostras de malware verificadas manualmente pela equipe KEYDAL. O uso comercial é proibido.