Bu rehber, gerçek FormBook örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

FormBook Nedir?

FormBook, ilk olarak 2016 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Küresel ortamlarını hedef almaktadır. .NET/VBA programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.

FormBook gelismis bir form grabber ve infostealer ailesidir. Web tarayicilarindan form verilerini, ekran goruntülerini ve tus vuruslarini calar.

Atıf / Tehdit Aktörü: ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Teknik Detay: C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek FormBook örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4SHA256NULL
2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048SHA256FormBook
2ef4c4e15fe09341a0eed5d0b538d1287a230f5e8778cf8acbc317fb873bf977SHA256FormBook
c32590372184842001ba5ae8f4f569352a1b65ece5ec31e4974b717b821362b3SHA256FormBook
3c7d9bc681e97b85adc3b943510b57927708b81d9996587ee3c1f07b8f33f14dSHA256FormBook
2cbbc2dfcb4c2eee97bf191d2f640171MD5NULL
4aa74f9f8b2021cbb223526be653fe5eMD5FormBook
d86a4a463c4347b7580d0729faeab46eMD5FormBook
bde92ec067ba1011d451ae676aa2bccaMD5FormBook
3dc08076aa2542504491e29d9b494e4eMD5FormBook

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — FormBook Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.