Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: YUKSEK

파일 Kimligi

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
파일 Adidstq.exe
크기287.744 byte
String Sayisi1.218 (sifrelenmis)

Analiz Bulgulari

FormBook, tum kritik stringlerini (C2 URL, API endpoint, mutex) XOR ile sifrelenmis PE seksiyon icinde saklar. Statik string analizinde hicbir cleartext IOC bulunamamistir.

FormBook Teknik 아키텍처si

  • Process Injection: Mesgru process'lere (Explorer.exe, svchost.exe) DLL injection
  • Form Grabbing: Tarayici formlarina hook ile sifresiz veri yakalama
  • Keylogger: SetWindowsHookEx ile keyboard hook
  • Screenshot: Belirli araliklarda ekran yakalama
  • C2 Pattern: Hardcoded list of multiple domains, rotates randomly

FormBook Yetenekleri

KategoriHedefler
Form VeriWeb formlarina girilen TUM veri (HTTP/HTTPS)
TarayicilarChrome, Firefox, IE, Edge, Opera, Brave, 80+ tarayici
EmailOutlook, Thunderbird, The Bat!, Foxmail
FTPFileZilla, WinSCP, SmartFTP, Total Commander FTP
KeyloggerTum tus basimalari ve aktif pencere bilgisi
ScreenshotPeriyodik ekran yakalama

FormBook Hakkinda

FormBook, 2016 yilinda "ng-Coder" takma adini kullanan bir gelistirici tarafindan underground forumlarda MaaS olarak satisa sunulmustur. 2019'da "XLoader" olarak rebrand edilmis ve macOS destegi eklenmistir. Process injection ve form grabbing teknikleri ile en yakin rekabetci stealerlardan biridir. Turkiye'de de kurban segmenti vardir.

IOC

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
C2XOR sifreli (runtime decrypt)
InjectionProcess Hollowing (Explorer/svchost)

FormBook — 악성코드 프로필

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

악성코드 유형
Infostealer
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
xLoader

기술 세부 정보

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

귀속 / 위협 행위자

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (1 개 지표)

IOC — FormBook
# SHA256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
유형메모
sha256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
formbookinfostealersifreliform-stealertarayiciprocess-injectionmaas