Manuel Statik Analiz — FormBook | Tehdit: ORTA

Dosya Kimliği

SHA256615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıPurchase_Order_Form.js (satın alma sipariş formu)
Boyut1.972.766 byte (1.97MB JS)
String Sayisi1.888 (1.97MB için minimal! = max obfuskasyon)

Maksimum Obfuskasyon Metriği

İlginç Oran: 1.97MB dosyada sadece 1,888 string = okunabilir metinden kaçınma!
Oran: 1888 string / 1,972,766 byte = 0.00096 string/byte
Normal JS: ~0.05-0.10 string/byte
Bu JS: 50-100x daha az okunabilir string = ağır karakter kodlama
Büyük kısmı ya hex/unicode escape ya da rastgele string encoding

Meşru Görünen Sahte Yorumlar

} // aggregate viewport metrics
var v6994 = {}; // propagate transition state at ...
-- "aggregate viewport metrics" = meşru web geliştirme yorumu gibi!
-- "propagate transition state" = React/Vue transition ifadesi gibi!
-- AV'lerin ve analistlerin "bu meşru web kodu" sanmasını sağlar
-- Rastgele değişken isim: v6994 (sayısal suffix pattern)

IOC

SHA256615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LurePurchase_Order_Form.js (satın alma sipariş JS)

Formbook3 — Malware Profile

FormBook .NET 2016 MaaS. Purchase_Order_Form.js. aggregate viewport sahte yorum. 1888 string 1.9MB max obfuskasyon.

Malware Type
Infostealer
Programming Language
C/.NET
C2 Protocol
HTTP/C2 Panel
Target Systems
Küresel Kurumsal

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — Formbook3
# SHA256 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
formbookpurchase-order-form-jsaggregate-viewport-metrics-fake-commentmax-obfuscation1888-strings-1.9mbprocurement-lurejs-dropper