Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: YUKSEK

文件 Kimligi

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
文件 Adidstq.exe
大小287.744 byte
String Sayisi1.218 (sifrelenmis)

Analiz Bulgulari

FormBook, tum kritik stringlerini (C2 URL, API endpoint, mutex) XOR ile sifrelenmis PE seksiyon icinde saklar. Statik string analizinde hicbir cleartext IOC bulunamamistir.

FormBook Teknik 架构si

  • Process Injection: Mesgru process'lere (Explorer.exe, svchost.exe) DLL injection
  • Form Grabbing: Tarayici formlarina hook ile sifresiz veri yakalama
  • Keylogger: SetWindowsHookEx ile keyboard hook
  • Screenshot: Belirli araliklarda ekran yakalama
  • C2 Pattern: Hardcoded list of multiple domains, rotates randomly

FormBook Yetenekleri

KategoriHedefler
Form VeriWeb formlarina girilen TUM veri (HTTP/HTTPS)
TarayicilarChrome, Firefox, IE, Edge, Opera, Brave, 80+ tarayici
EmailOutlook, Thunderbird, The Bat!, Foxmail
FTPFileZilla, WinSCP, SmartFTP, Total Commander FTP
KeyloggerTum tus basimalari ve aktif pencere bilgisi
ScreenshotPeriyodik ekran yakalama

FormBook Hakkinda

FormBook, 2016 yilinda "ng-Coder" takma adini kullanan bir gelistirici tarafindan underground forumlarda MaaS olarak satisa sunulmustur. 2019'da "XLoader" olarak rebrand edilmis ve macOS destegi eklenmistir. Process injection ve form grabbing teknikleri ile en yakin rekabetci stealerlardan biridir. Turkiye'de de kurban segmenti vardir.

IOC

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
C2XOR sifreli (runtime decrypt)
InjectionProcess Hollowing (Explorer/svchost)

FormBook — 恶意软件档案

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

恶意软件类型
Infostealer
编程语言
C
C2协议
HTTP
目标系统
Windows
别名 (AKA)
xLoader

技术细节

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

归因 / 威胁行为者

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (1 个指标)

IOC — FormBook
# SHA256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
类型备注
sha256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1

C2服务器 (该家族共有 5 台已记录服务器)

地址 类型 端口 协议 状态 国家
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
formbookinfostealersifreliform-stealertarayiciprocess-injectionmaas