Manuel Statik Analiz — FormBook (JavaScript Dropper) | Tehdit: YUKSEK

Dosya Kimliği

SHA256615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Dosya AdıPurchase_Order_Form.js (satın alma formu)
Boyut1.972.766 byte (1.97MB JS)
String Sayisi1.888

Obfuskasyon Kalıntısı

"} // aggregate viewport metrics"
"var v6994 = {}; // propagate transition state at "
-- Kayıtlı JavaScript kütüphanesi yorumları obfuskasyon içinde!
-- Gerçek kod: minimize + obfuscate edilmiş
-- "v6994" = rastgele değişken adı (obfuscator çıktısı)
-- "propagate transition state" = JavaScript framework kaynaklı
-- Gerçek payload gömülü base64 veya eval() çağrısında

FormBook Hakkında

FormBook, 2017'de $59'dan başlayan fiyatla MaaS olarak satılan form hijacking stealer'dır. Windows HTTP API hooking ile HTTP formu veri hırsızlığı yapar. Tarayıcı credential, clipboard ve screenshot alır. 2020'de kaynak kodu sızdı. Asya ve Orta Doğu işletmelerini sıkça hedefler.

IOC

SHA256615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
LurePurchase_Order_Form.js (satın alma formu JS)

FormBook2 — Malware Profile

FormBook MaaS 2017 $59. HTTP form hijack. Browser credential+clipboard+screenshot. 2020 kaynak sızıntısı.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Kuresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — Formbook2
# SHA256 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
TypeValueNote
sha256 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 len=63
Tags
formbookpurchase-order-form-jsviewport-metrics-artifactobfuscated-jsjs-dropperfinance-lure