FormBook Nedir?
FormBook, ilk olarak 2016 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Küresel ortamlarını hedef almaktadır. .NET/VBA programlama dili ile geliştirilmiş olup C2 iletişiminde HTTP protokolünü kullanmaktadır.
FormBook gelismis bir form grabber ve infostealer ailesidir. Web tarayicilarindan form verilerini, ekran goruntülerini ve tus vuruslarini calar.
Atıf / Tehdit Aktörü: ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Teknik Detay: C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Nasıl Bulaşır?
- Kimlik Avı E-postaları: Sahte fatura, kargo bildirimi veya iş teklifleri içeren kötü amaçlı ekler
- Crack / Keygen: Lisanssız yazılım arayan kullanıcılara yönelik truva atı yükleniciler
- Drive-By İndirme: Zafiyetli tarayıcı eklentileri üzerinden otomatik yükleme
- Sosyal Mühendislik: Discord, Telegram, YouTube yorumları üzerinden paylaşılan bağlantılar
- USB/Harici Medya: Enfekte çıkarılabilir sürücüler aracılığıyla yayılma
Enfeksiyon Belirtileri
- Sistem performansında ani ve açıklanamayan düşüş
- Antivirüs yazılımının kendiliğinden kapanması veya güncelleme yapamaması
- Görev Yöneticisi'nde tanımadığınız yüksek CPU/RAM kullanan süreçler
- Ağ trafiğinde açıklanamayan artışlar, bilinmeyen giden bağlantılar
- Tarayıcı hesapları ele geçirildi, hesaplara izinsiz giriş uyarıları
Dosya Hash Değerleri (Antivirüs Tespiti İçin)
Gerçek FormBook örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:
| Hash Değeri | Tür | Not |
|---|---|---|
| f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 | SHA256 | NULL |
| 2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048 | SHA256 | FormBook |
| 2ef4c4e15fe09341a0eed5d0b538d1287a230f5e8778cf8acbc317fb873bf977 | SHA256 | FormBook |
| c32590372184842001ba5ae8f4f569352a1b65ece5ec31e4974b717b821362b3 | SHA256 | FormBook |
| 3c7d9bc681e97b85adc3b943510b57927708b81d9996587ee3c1f07b8f33f14d | SHA256 | FormBook |
| 2cbbc2dfcb4c2eee97bf191d2f640171 | MD5 | NULL |
| 4aa74f9f8b2021cbb223526be653fe5e | MD5 | FormBook |
| d86a4a463c4347b7580d0729faeab46e | MD5 | FormBook |
| bde92ec067ba1011d451ae676aa2bcca | MD5 | FormBook |
| 3dc08076aa2542504491e29d9b494e4e | MD5 | FormBook |
Adım Adım Kaldırma Rehberi
Adım 1 — İnternet Bağlantısını Hemen Kesin
C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.
Adım 2 — Güvenli Modda Başlatın
Windows'u Ağ Destekli Güvenli Mod'da başlatın:
- Win + R →
msconfig→ Önyükleme sekmesi → "Güvenli önyükleme" → "Ağ" → Tamam → Yeniden Başlat - Veya başlangıçta F8 (eski Windows sürümleri)
Adım 3 — FormBook Sürecini Sonlandırın
Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.
Adım 4 — Antivirüs ile Tam Sistem Taraması
Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):
- Malwarebytes
- AdwCleaner
- HitmanPro
Adım 5 — Tarayıcıları Sıfırlayın
Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:
- Chrome: Ayarlar → Gelişmiş → Ayarları sıfırla
- Firefox: Yardım → Sorun Giderme Bilgisi → Firefox'u Yenile
- Edge: Ayarlar → Ayarları Sıfırla
Çalınan Verileri Koruma Altına Alın
Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:
- Google, Microsoft, Apple, sosyal medya hesap şifreleri ve 2FA cihaz bağlantıları
- Bankacılık, ödeme sistemleri, e-ticaret site şifreleri
- Kripto cüzdanları — yeni cüzdan oluşturun, eski seed phrase'i geçersiz kılın
- E-posta sağlayıcınıza şüpheli erişimi bildirin, aktif oturumları sonlandırın
- Tüm hesaplarda 2FA/MFA etkinleştirin
Yeniden Enfeksiyonu Önleme
- İşletim sistemi ve tüm uygulamaları düzenli güncelleyin — yama yönetimi kritiktir
- Güvenilmeyen kaynaklardan kesinlikle dosya indirmeyin; crack/keygen kullanmayın
- E-posta eklerini ve bağlantılarını dikkatle inceleyin; şüpheli olanları açmayın
- Tüm hesaplarda güçlü, benzersiz şifre + 2FA kullanın
- Düzenli yedekleme yapın (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 uzak konum)
- Kurumsal ağda EDR, SIEM, ağ segmentasyonu ve tehdit istihbaratı entegrasyonu sağlayın
- Windows SmartScreen, UAC ve Windows Defender'ı etkin tutun
Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.