FormBook-深静态分析(f9dcaff0).

威胁摘要
家族FormBook
威胁等级
Platform.NET / C++ (UPX packed)
PackerUPX
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15b...
首次发现2026-06-29
检测方法MalwareBazaar + 特征匹配
置信度MEDIUM

文件信息

属性
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
MD52cbbc2dfcb4c2eee97bf191d2f640171
SHA1a2147858182f429e20d9a4ab4497f011d0835e5d
文件名BOQ.bat (PE içeriği)
大小1,091,584 bytes
架构x86
编译日期未知
PackerUPX
MB 首次发现2026-06-29
MB 标签exe, Formbook

威胁概况

家族: FormBook   分类:   置信度: MEDIUM

FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.

检测到的功能

  • Form Grabbing (web tarayıcı form verisi çalma)
  • Keylogger (SetWindowsHookEx)
  • Screenshot (BitBlt/GDI)
  • Clipboard Monitor
  • HTTP C2 İletişimi
  • Anti-Debug Kontrolleri

Anti-Analiz Teknikleri

  • IsDebuggerPresent kontrolü
  • VM/Sandbox tespiti
  • UPX packing ile obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Process Injection (CreateRemoteThread)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md52cbbc2dfcb4c2eee97bf191d2f640171

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

FormBook — 恶意软件档案

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

恶意软件类型
Infostealer
编程语言
C
C2协议
HTTP
目标系统
Windows
别名 (AKA)
xLoader

技术细节

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

归因 / 威胁行为者

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

能力与行为

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC列表 (2 个指标)

IOC — FormBook
# SHA256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 # MD5 2cbbc2dfcb4c2eee97bf191d2f640171
类型备注
sha256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md5 2cbbc2dfcb4c2eee97bf191d2f640171

C2服务器 (该家族共有 5 台已记录服务器)

地址 类型 端口 协议 状态 国家
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。

标签
formbookinfostealerform-grabberpeanalizstatikioc