FormBook - 딥 정적 분석 (f9dcaff0)

위협 요약
패밀리FormBook
위협 수준높음
Platform.NET / C++ (UPX packed)
PackerUPX
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15b...
최초 발견2026-06-29
탐지 방법MalwareBazaar + 시그니처 일치
신뢰도MEDIUM

파일 정보

속성
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
MD52cbbc2dfcb4c2eee97bf191d2f640171
SHA1a2147858182f429e20d9a4ab4497f011d0835e5d
파일 이름BOQ.bat (PE içeriği)
크기1,091,584 bytes
아키텍처x86
컴파일 날짜알 수 없음
PackerUPX
MB 최초 발견2026-06-29
MB 태그exe, Formbook

위협 프로필

패밀리: FormBook   분류: 높음   신뢰도: MEDIUM

FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.

탐지된 기능

  • Form Grabbing (web tarayıcı form verisi çalma)
  • Keylogger (SetWindowsHookEx)
  • Screenshot (BitBlt/GDI)
  • Clipboard Monitor
  • HTTP C2 İletişimi
  • Anti-Debug Kontrolleri

Anti-Analiz Teknikleri

  • IsDebuggerPresent kontrolü
  • VM/Sandbox tespiti
  • UPX packing ile obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Process Injection (CreateRemoteThread)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

Tip
sha256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md52cbbc2dfcb4c2eee97bf191d2f640171

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

FormBook — 악성코드 프로필

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

악성코드 유형
Infostealer
프로그래밍 언어
C
C2 프로토콜
HTTP
대상 시스템
Windows
다른 이름 (AKA)
xLoader

기술 세부 정보

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

귀속 / 위협 행위자

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

기능 및 동작

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC 목록 (2 개 지표)

IOC — FormBook
# SHA256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 # MD5 2cbbc2dfcb4c2eee97bf191d2f640171
유형메모
sha256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md5 2cbbc2dfcb4c2eee97bf191d2f640171

C2 서버 (이 패밀리에 대해 5개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
formbookinfostealerform-grabberpeanalizstatikioc