Manuel Statik Analiz — FormBook | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Dosya Adı | Factura electric correspondiente al pedido GA1 (İspanyolca elektrik faturası!) |
| Boyut | 1.005.056 byte (981KB) |
| String Sayisi | 4.905 |
İspanyolca Elektrik Faturası Lürü
SOSYAL MÜHENDİSLİK: Elektrik faturası e-postası!
Factura electric correspondiente al pedido GA1 -- "Factura electric" = elektrik faturası (İspanyolca) -- "correspondiente al" = ilgili (bağlantılı) -- "pedido GA1" = GA1 sipariş kodu -- İspanya/LATAM elektrik şirketi faturası gibi görünüyor -- Hedef: İspanyolca konuşan bireyler ve küçük işletmeler -- FormBook = web form verisi çalan ve credential hırsızlayan stealer
SmartAssembly Paketleyici + C2 Substring
AssemblyConfigurationAttribute -- SmartAssembly packer imzası System.Configuration -- .NET konfigürasyon namespace 8&C2\ -- C2 substring (paketleyici içinden) -- FormBook tipik olarak SmartAssembly ile paketlenmiş .NET dropper içine gömülür -- Asıl FormBook binary native C kodu, wrapper .NET'tir
IOC
| SHA256 | 0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Lure | Factura electric GA1 (İspanyolca elektrik faturası) |
FormBook — Malware Profile
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
xLoader
Technical Details
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Attribution / Threat Actor
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — FormBook
# SHA256
0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
| Type | Value | Note |
|---|---|---|
| sha256 | 0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
C2 Servers (5 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.