Manuel Statik Analiz — FormBook (JavaScript Dropper) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Purchase_Order_Form.js (satın alma formu) |
| Boyut | 1.972.766 byte (1.97MB JS) |
| String Sayisi | 1.888 |
Obfuskasyon Kalıntısı
"} // aggregate viewport metrics"
"var v6994 = {}; // propagate transition state at "
-- Kayıtlı JavaScript kütüphanesi yorumları obfuskasyon içinde!
-- Gerçek kod: minimize + obfuscate edilmiş
-- "v6994" = rastgele değişken adı (obfuscator çıktısı)
-- "propagate transition state" = JavaScript framework kaynaklı
-- Gerçek payload gömülü base64 veya eval() çağrısında
FormBook Hakkında
FormBook, 2017'de $59'dan başlayan fiyatla MaaS olarak satılan form hijacking stealer'dır. Windows HTTP API hooking ile HTTP formu veri hırsızlığı yapar. Tarayıcı credential, clipboard ve screenshot alır. 2020'de kaynak kodu sızdı. Asya ve Orta Doğu işletmelerini sıkça hedefler.
IOC
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Purchase_Order_Form.js (satın alma formu JS) |
FormBook2 — Malware Profile
FormBook MaaS 2017 $59. HTTP form hijack. Browser credential+clipboard+screenshot. 2020 kaynak sızıntısı.
Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Kuresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Formbook2
# SHA256
615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |