Dosya Bilgileri
| Özellik | Değer |
|---|---|
| SHA256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| MD5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
| SHA1 | a2147858182f429e20d9a4ab4497f011d0835e5d |
| Dosya Adı | BOQ.bat (PE içeriği) |
| Boyut | 1,091,584 bytes |
| Mimari | x86 |
| Derleme Tarihi | Bilinmiyor |
| Packer | UPX |
| MB İlk Görülme | 2026-06-29 |
| MB Etiketleri | exe, Formbook |
Tehdit Profili
Aile: FormBook Sınıflandırma: YÜKSEK Güven: MEDIUM
FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.
Tespit Edilen Yetenekler
- Form Grabbing (web tarayıcı form verisi çalma)
- Keylogger (SetWindowsHookEx)
- Screenshot (BitBlt/GDI)
- Clipboard Monitor
- HTTP C2 İletişimi
- Anti-Debug Kontrolleri
Anti-Analiz Teknikleri
- IsDebuggerPresent kontrolü
- VM/Sandbox tespiti
- UPX packing ile obfuscation
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Enjeksiyon Teknikleri
- Process Injection (CreateRemoteThread)
C2 Sunucuları
IOC Listesi
| Tip | Değer |
|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
FormBook — Malware Profile
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Technical Details
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Attribution / Threat Actor
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Capabilities & Behavior
IOC List (2 indicators)
# SHA256
f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
# MD5
2cbbc2dfcb4c2eee97bf191d2f640171
| Type | Value | Note |
|---|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 | |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
C2 Servers (5 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.